Plataforma
nodejs
Componente
n8n
Corregido en
1.121.4
1.121.3
La plataforma de automatización de flujos de trabajo n8n es vulnerable a una ejecución remota de código (RCE) autenticada. Bajo ciertas condiciones, un usuario autenticado puede ejecutar código no confiable, lo que podría resultar en la completa toma de control de la instancia afectada. Esta vulnerabilidad impacta tanto en instancias auto-alojadas como en n8n Cloud, y se recomienda actualizar a la versión 1.121.3 o posterior para mitigar el riesgo.
Esta vulnerabilidad de RCE permite a un atacante autenticado ejecutar código arbitrario en el servidor donde se ejecuta n8n. Esto significa que un atacante con acceso a una cuenta de usuario válida podría tomar el control completo de la instancia de n8n, incluyendo el acceso a datos confidenciales, la modificación de flujos de trabajo y la ejecución de comandos en el sistema subyacente. El impacto es crítico, ya que la ejecución de código arbitrario permite una escalada de privilegios completa y un compromiso del sistema. La naturaleza de n8n como plataforma de automatización significa que un atacante podría usar esta vulnerabilidad para comprometer otros sistemas integrados con n8n, ampliando el radio de explosión del ataque.
La vulnerabilidad CVE-2026-21877 ha sido publicada el 6 de enero de 2026. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad de RCE la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear activamente las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con n8n.
Organizations heavily reliant on n8n for workflow automation and integrations are particularly at risk. This includes businesses using n8n to connect to sensitive data sources or critical business applications. Shared hosting environments where multiple users share the same n8n instance are also at increased risk, as a compromise of one user could potentially impact others.
• nodejs / server: Monitor n8n process logs for unusual activity or unexpected code execution. Use ps aux | grep n8n to check running processes and look for suspicious commands.
• generic web: Check n8n server access logs for unusual requests or patterns indicative of attempted exploitation. Look for requests targeting vulnerable endpoints.
• linux / server: Use journalctl -u n8n to review n8n service logs for error messages or suspicious events related to code execution.
journalctl -u n8n -f | grep -i errordisclosure
Estado del Exploit
EPSS
14.14% (94% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar a la versión 1.121.3 o posterior de n8n, que incluye la corrección para esta vulnerabilidad. Si la actualización no es factible de inmediato, se recomienda como mitigación temporal deshabilitar la funcionalidad de Git en n8n. Esto reduce la superficie de ataque y dificulta la explotación de la vulnerabilidad. Además, revise los permisos de usuario y asegúrese de que solo los usuarios autorizados tengan acceso a la instancia de n8n. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que la funcionalidad de Git, si se había deshabilitado, pueda ser re-habilitada sin problemas.
Actualice n8n a la versión 1.121.3 o superior. Como medida temporal, deshabilite el nodo Git y limite el acceso a usuarios no confiables. Se recomienda la actualización para mitigar completamente la vulnerabilidad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-21877 is a critical Remote Code Execution vulnerability in n8n, allowing authenticated users to execute arbitrary code on the server.
You are affected if you are running n8n versions prior to 1.121.3. Both self-hosted and n8n Cloud instances are vulnerable.
Upgrade to n8n version 1.121.3 or later. As a temporary workaround, disable the Git functionality within n8n.
While no public exploits are currently known, the RCE nature of the vulnerability suggests a potential for active exploitation. Monitor security advisories.
Refer to the official n8n security advisory on their website or GitHub repository for the latest information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.