Netcrook Logo
👤 KERNELWATCHER
🗓️ 23 Dec 2025  

Automatización bajo asedio: Vulnerabilidad en n8n abre la puerta a una crisis global de RCE

Más de 100,000 servidores de automatización n8n enfrentan un riesgo urgente debido a una falla crítica que permite a los atacantes tomar el control con un solo clic.

Todo comenzó en silencio: una única falla, enterrada profundamente en el código de una querida herramienta de automatización empresarial. Pero a medida que los investigadores de seguridad dieron la voz de alarma, la verdadera magnitud de la amenaza se hizo evidente: más de 103,000 instancias de n8n, dispersas por todo el mundo digital, ahora están expuestas a una vulnerabilidad tan grave que podría permitir a los atacantes ejecutar código arbitrario y tomar el control de infraestructuras enteras. En un mundo dependiente de flujos de trabajo automatizados, pocas veces han estado en juego tanto.

La vulnerabilidad, identificada como CVE-2025-68613, acecha en el sistema de evaluación de expresiones de flujo de trabajo de n8n. Aquí, la comodidad de la plataforma se convierte en su talón de Aquiles: usuarios autenticados, incluso aquellos con permisos mínimos, pueden aprovechar el débil aislamiento en tiempo de ejecución para inyectar y ejecutar el código que deseen. ¿El resultado? Control total e instantáneo sobre el servidor de automatización, incluyendo acceso a datos sensibles, manipulación de flujos de trabajo y la posibilidad de lanzar ataques adicionales dentro de una organización comprometida.

Los expertos en seguridad están dando la voz de alarma - y con razón. El meteórico ascenso de n8n como solución de automatización de código abierto significa que está integrado en el tejido operativo de innumerables empresas. Investigadores de Censys estiman que más de 103,000 instancias de n8n están expuestas a Internet, representando una vasta y vulnerable superficie de ataque. Para los atacantes, esto es una mina de oro: compromete una instancia de n8n y podrías moverte a través de todo el flujo de trabajo digital de una empresa, exfiltrar datos o incluso lanzar ataques a la cadena de suministro contra sistemas conectados.

La urgencia se agrava con la publicación de código público de prueba de concepto, lo que reduce la barrera de entrada para posibles atacantes. Aunque aún no se ha documentado explotación generalizada, la ventana para los defensores se está cerrando rápidamente. n8n ha respondido lanzando versiones corregidas - 1.120.4, 1.121.1 y 1.122.0 - e instando a todos los usuarios a actualizar de inmediato. Para quienes no puedan aplicar el parche de inmediato, la empresa recomienda restringir los permisos de los flujos de trabajo y aislar los entornos de n8n, aunque estas son solo medidas temporales.

Se aconseja a los equipos de seguridad tratar esto como un incidente de “prioridad cero”. Eso significa inventariar todas las implementaciones de n8n, verificar las versiones y aplicar actualizaciones en todos los casos. Herramientas como Censys y plataformas de gestión de superficie de ataque pueden ayudar a las organizaciones a identificar y rastrear instancias vulnerables. La combinación de facilidad de explotación, escala de exposición y la centralidad de la automatización en los negocios modernos hace de esta una crisis que exige una acción rápida y coordinada.

Al reflexionar sobre este último incidente, una cosa queda clara: la automatización aporta velocidad, pero también riesgo. A medida que las organizaciones se apresuran a optimizar sus operaciones, la seguridad debe avanzar igual de rápido - o arriesgarse a ceder terreno ante atacantes dispuestos a convertir la comodidad en catástrofe.

WIKICROOK

  • Ejecución Remota de Código (RCE): La Ejecución Remota de Código (RCE) ocurre cuando un atacante ejecuta su propio código en el sistema de una víctima, lo que a menudo conduce al control total o compromiso de ese sistema.
  • Puntuación CVSS: Una puntuación CVSS califica la gravedad de las vulnerabilidades de seguridad de 0 a 10, siendo los números más altos indicativos de mayor riesgo y urgencia de respuesta.
  • Prueba: Una Prueba de Concepto (PoC) es una demostración que muestra que una vulnerabilidad de ciberseguridad puede ser explotada, ayudando a validar y evaluar riesgos reales.
  • Usuario Autenticado: Un usuario autenticado es alguien que ha iniciado sesión en un sistema y ha verificado su acceso, pero puede no tener todos los permisos o control total.
  • Ataque a la Cadena de Suministro: Un ataque a la cadena de suministro es un ciberataque que compromete proveedores de software o hardware de confianza, propagando malware o vulnerabilidades a muchas organizaciones a la vez.
n8n vulnerability Remote Code Execution cybersecurity crisis
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news