CRITICALCVE-2026-27495CVSS 9.5

n8n tiene una Escapada de Sandbox en su Task Runner de JavaScript

Q: What is CVE-2026-27495 — RCE in n8n?

CVE-2026-27495 is a critical Remote Code Execution vulnerability in n8n, allowing authenticated users to execute arbitrary code through the JavaScript Task Runner sandbox.

Q: Am I affected by CVE-2026-27495 in n8n?

You are affected if you are running n8n versions prior to 1.123.22 and have Task Runners enabled (default).

Q: How do I fix CVE-2026-27495 in n8n?

Upgrade n8n to version 1.123.22 or later. As a temporary workaround, disable Task Runners by setting `N8N_RUNNERS_ENABLED=false`.

Q: Is CVE-2026-27495 being actively exploited?

While no public exploits are currently known, the vulnerability's ease of exploitation makes it a high-priority concern.

Q: Where can I find the official n8n advisory for CVE-2026-27495?

Refer to the official n8n security advisory on their website or GitHub repository for the latest information.

Plataforma

nodejs

Componente

n8n

Corregido en

1.123.23

2.0.1

2.10.1

1.123.22

AI Confidence: highNVDEPSS 0.1%Revisado: may 2026

Ver en NVD

Guardar

La vulnerabilidad CVE-2026-27495 es una ejecución remota de código (RCE) presente en n8n, una plataforma de automatización de flujos de trabajo. Un usuario autenticado con permisos para crear o modificar flujos de trabajo puede explotar una falla en el sandbox del Task Runner para ejecutar código arbitrario fuera de sus límites. Esta vulnerabilidad afecta a versiones de n8n anteriores a 2.10.1, 2.9.3 y 1.123.22, y requiere que los Task Runners estén habilitados.

Impacto y Escenarios de Ataque

La explotación exitosa de CVE-2026-27495 puede resultar en una completa toma de control del host de n8n, especialmente en instancias que utilizan Task Runners internos (el modo predeterminado). Esto permite al atacante ejecutar comandos arbitrarios con los privilegios del proceso n8n, acceder a datos sensibles almacenados en el sistema, instalar malware o incluso utilizar el sistema comprometido como punto de apoyo para ataques a otros sistemas en la red. En instancias que utilizan Task Runners externos, el impacto se reduce, pero el atacante aún podría acceder a o afectar a otras tareas ejecutadas en el Task Runner. La gravedad de esta vulnerabilidad radica en su potencial para una completa y silenciosa toma de control del sistema.

Contexto de Explotación

La vulnerabilidad CVE-2026-27495 fue publicada el 25 de febrero de 2026. Actualmente no se dispone de información sobre explotación activa en la naturaleza. La probabilidad de explotación se considera media debido a la necesidad de autenticación y la configuración específica requerida (Task Runners habilitados). Se recomienda monitorear fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación.

Quién Está en Riesgotraduciendo…

Organizations heavily reliant on n8n for workflow automation, particularly those using the default internal Task Runner configuration, are at significant risk. Environments where user access controls are not strictly enforced, allowing unauthorized users to create or modify workflows, are especially vulnerable.

Pasos de Deteccióntraduciendo…

• nodejs / server:

ps aux | grep n8n

Check for unusual processes running within the n8n environment. • nodejs / server:

journalctl -u n8n -f | grep -i error

Monitor n8n logs for error messages or suspicious activity related to task execution. • generic web:

curl -I http://<n8n_host>/ | grep -i 'n8n/1.123.22'

Verify the n8n version is patched (1.123.22 or later).

Cronología del Ataque

2026-02-25Disclosure
disclosure

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido

CISA KEVNO

Informes7 informes de amenaza

EPSS

0.08% (23% percentil)

CISA SSVC

Explotaciónnone

Automatizableno

Impacto Técnicototal

Software Afectado

Componenten8n

Proveedorosv

Rango afectadoCorregido en

< 1.123.22 – < 1.123.221.123.23

>= 2.0.0, < 2.9.3 – >= 2.0.0, < 2.9.32.0.1

>= 2.10.0, < 2.10.1 – >= 2.10.0, < 2.10.12.10.1

—1.123.22

Clasificación de Debilidad (CWE)

CWE-94

Cronología

Reservado2026-02-19
Publicada2026-02-25
Modificada2026-02-28
EPSS actualizado2026-03-23

Mitigación y Workarounds

La mitigación principal para CVE-2026-27495 es actualizar n8n a una versión corregida: 2.10.1, 2.9.3 o 1.123.22. Si la actualización no es inmediatamente posible, deshabilitar los Task Runners (estableciendo N8NRUNNERSENABLED=false) reduce significativamente el riesgo, aunque limita la funcionalidad de n8n. Se recomienda revisar los permisos de los usuarios de n8n para asegurar que solo aquellos que necesitan crear o modificar flujos de trabajo tengan los permisos necesarios. Monitorear los logs de n8n en busca de actividad sospechosa relacionada con la ejecución de tareas puede ayudar a detectar intentos de explotación.

Cómo corregirlo

Actualice n8n a la versión 2.10.1, 2.9.3 o 1.123.22, o posterior. Si la actualización no es posible de inmediato, limite los permisos de creación y edición de flujos de trabajo a usuarios de confianza, y/o use el modo de ejecución externo (`N8N_RUNNERS_MODE=external`) para limitar el radio de explosión. Tenga en cuenta que estas soluciones alternativas no mitigan completamente el riesgo y solo deben usarse como medidas de mitigación a corto plazo.

Boletín de seguridad CVE

Análisis de vulnerabilidades y alertas críticas directamente en tu correo.

Preguntas frecuentestraduciendo…

What is CVE-2026-27495 — RCE in n8n?