La agencia de ciberseguridad del gobierno de EE. UU., CISA, ha ordenado a las dependencias federales que actualicen con urgencia sus instalaciones de n8n tras detectarse una vulnerabilidad que ya está siendo explotada en entornos reales. Se trata de un aviso serio porque n8n no es una herramienta marginal: funciona como un motor de automatización de flujos de trabajo muy popular en proyectos de ciencia de datos e inteligencia artificial y en las canalizaciones de ingestión de datos, con una comunidad de usuarios amplia y descargas masivas tanto en npm como en Docker Hub.
La falla, registrada como CVE-2025-68613, permite la ejecución remota de código sobre servidores vulnerables a través del sistema que evalúa expresiones dentro de los flujos de trabajo. En términos prácticos, un atacante autenticado podría lograr que el proceso de n8n ejecute comandos arbitrarios y, por tanto, comprometer la instancia completa con las credenciales del propio servicio. Eso convierte a cada instalación en un almacén potencial de secretos y un objetivo muy jugoso.
La razón por la que esta vulnerabilidad resulta tan peligrosa no es sólo la posibilidad de ejecución remota, sino el tipo de información que suelen contener las plataformas de automatización: claves de API, tokens OAuth, credenciales de bases de datos, permisos de almacenamiento en la nube e incluso secretos usados en procesos de integración continua. Un acceso exitoso puede traducirse en robo de datos, manipulación de flujos automatizados y movimientos laterales dentro de la red.
El equipo de n8n publicó la corrección en diciembre en la versión v1.122.0 y ha recomendado a los administradores aplicar la actualización de inmediato. Para las organizaciones que no puedan actualizar de forma inmediata, los desarrolladores sugieren medidas temporales como restringir la creación y edición de flujos a usuarios plenamente confiables y limitar privilegios a nivel de sistema operativo y accesos de red, con el objetivo de reducir la superficie de ataque hasta que se aplique el parche.
La urgencia de la situación quedó patente cuando CISA añadió esta vulnerabilidad a su catálogo de Known Exploited Vulnerabilities (KEV) y exigió a las agencias del Ejecutivo Federal que remedien las instancias afectadas antes del 25 de marzo, conforme a la directiva operativa vinculante BOD 22-01. Aunque ese mandato afecta únicamente a entidades federales, CISA ha instado a todos los responsables de seguridad a actuar sin demora.
Los indicadores de exposición en Internet amplifican la llamada a la acción: el grupo de vigilancia Shadowserver ha identificado más de 40.000 instancias de n8n sin parchear accesibles desde la red pública, con una concentración notable en Norteamérica y Europa. Esa escala sugiere que no sólo los atacantes automatizados, sino actores con objetivos específicos, disponen de un gran campo de acción para buscar y explotar instalaciones desprotegidas. Puede consultarse el seguimiento de Shadowserver en su panel público aquí.
Además de la corrección específica para CVE-2025-68613, el propio proyecto n8n ha visto varias fallas críticas en los últimos meses, incluyendo una denominada "Ni8mare" que permitía a atacantes remotos sin privilegios hacerse con servidores no parcheados. Ese historial reciente refuerza la idea de que las plataformas que procesan automatismos y secretos requieren una gestión y monitoreo continuos, no sólo parches puntuales.
Si gestionas instancias de n8n, conviene actuar en varios frentes: identificar todas las instalaciones dentro del inventario de la organización, planificar la actualización a la versión parcheada, rotar claves y credenciales que pudieran haber estado expuestas y revisar logs y detecciones en busca de actividad anómala. En entornos donde la actualización no sea inmediata, aplicar controles de acceso estrictos, segmentar la red y limitar la capacidad de los procesos de n8n para ejecutar comandos en el sistema puede mitigar riesgos hasta que esté disponible la corrección oficial. El aviso de CISA también recuerda que, si no existen mitigaciones viables, la alternativa responsable es dejar de usar el producto temporalmente.
Para profundizar, puede consultarse la nota de CISA sobre la inclusión de la vulnerabilidad en su catálogo aquí, la información técnica en el registro nacional de vulnerabilidades NVD y el aviso de seguridad publicado por el propio equipo de n8n en su repositorio de GitHub, disponible aquí. Estas fuentes ofrecen los pasos concretos para parchear, así como recomendaciones adicionales para reducir el impacto en caso de no poder actualizar de inmediato.
En resumen, la combinación de una herramienta ampliamente utilizada, la capacidad de ejecutar código a nivel de proceso y la presencia de miles de instancias expuestas hace de CVE-2025-68613 una de esas vulnerabilidades que no conviene ignorar. Actualizar cuanto antes, auditar accesos y rotar secretos son acciones imprescindibles para evitar una intrusión con consecuencias graves.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...