La agencia estadounidense de ciberseguridad, CISA, ha incluido recientemente una vulnerabilidad crítica que afecta a la plataforma de automatización de flujos de trabajo n8n en su catálogo de Known Exploited Vulnerabilities (KEV). Se trata del fallo asignado como CVE-2025-68613, con una puntuación CVSS de 9.9, que en términos sencillos permite la ejecución remota de código a través de una inyección en las expresiones del motor que evalúa los workflows.
n8n es una herramienta cada vez más habitual para conectar y automatizar procesos entre aplicaciones: orquesta disparadores, transforma datos y dispara acciones sin que tengas que escribir toda la lógica manualmente. Esa flexibilidad se apoya en un sistema que evalúa expresiones dinámicas dentro de los flujos, y es precisamente en ese punto donde se encontró la carta más peligrosa: una evaluación incorrecta de código dinámico que puede ser manipulada por un atacante autenticado para ejecutar comandos con los mismos privilegios del proceso de n8n.
Los responsables de n8n publicaron parches en diciembre de 2025 para mitigar el fallo (las versiones que incluyen la corrección son, entre otras, 1.120.4, 1.121.1 y 1.122.0). Puedes comprobar las notas oficiales y las versiones en el repositorio de lanzamientos de n8n en GitHub, y el registro del CVE en CVE.org. A pesar de la disponibilidad de parches, CISA añadió este fallo a su catálogo KEV porque hay indicios de explotación activa, lo que lo convierte en una prioridad de seguridad para organizaciones de todo tipo.
Que un atacante autenticado pueda lograr ejecución remota no es un detalle menor: en el peor escenario esto permite tomar control total de una instancia, robar o alterar datos, modificar automatizaciones para introducir comportamientos maliciosos, o ejecutar operaciones a nivel de sistema. Aunque por ahora no se han publicado detalles técnicos sobre cómo se está explotando en la práctica, la inclusión en KEV suele implicar evidencia de uso real en ataques.
El alcance del problema es relevante: datos públicos de la Shadowserver Foundation muestran que hay decenas de miles de instancias de n8n accesibles desde Internet sin parchear —más de 24.700 a principios de febrero de 2026—, con una gran concentración en Norteamérica y Europa. Esa exposición pública facilita que actores maliciosos escaneen, identifiquen y traten de explotar sistemas vulnerables.
La situación también ha generado hallazgos adicionales: la firma Pillar Security divulgó dos fallos críticos en el sistema de evaluación de expresiones de n8n; uno de ellos, registrado como CVE-2026-27577, fue clasificado como un exploit adicional relacionado con la misma familia de problemas. Para las agencias federales de Estados Unidos esto tiene un matiz operativo: las instancias de n8n en el Federal Civilian Executive Branch (FCEB) deben ser parcheadas antes del 25 de marzo de 2026, en virtud de la Binding Operational Directive BOD 22-01 sobre gestión de vulnerabilidades.
Si administras n8n o dependes de instancias gestionadas, la recomendación es clara: aplaza cualquier complacencia y aplica las actualizaciones publicadas cuanto antes. Además del parche, conviene tomar medidas adicionales mientras realizas la actualización: restringir el acceso a la interfaz web a rangos IP confiables o a través de VPN, revisar y endurecer controles de autenticación, rotar credenciales y tokens que pudiera usar la plataforma, y monitorizar actividad inusual en logs y en la red. La detección temprana de procesos inesperados, conexiones salientes atípicas o cambios en workflows puede ser la pista que indique una intrusión.
No todas las organizaciones tienen el mismo riesgo, pero la combinación de un fallo con puntuación casi máxima, evidencia de explotación y decenas de miles de instancias expuestas crea un escenario donde actuar rápido marca la diferencia entre un parche y una respuesta a incidentes. Si quieres seguir de cerca las alertas oficiales, revisa la publicación de CISA y el catálogo KEV; para aplicar correcciones, consulta el historial de versiones de n8n en su repositorio. Mantener tus sistemas actualizados y reducir la superficie de exposición siguen siendo las mejores defensas frente a este tipo de vulnerabilidades.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...