Plataforma
nodejs
Componente
n8n
Corregido en
1.123.9
2.0.1
1.123.8
La vulnerabilidad CVE-2026-27498 es una ejecución remota de código (RCE) en n8n, una plataforma de automatización de flujos de trabajo. Un usuario autenticado con permisos para crear o modificar flujos de trabajo puede explotar esta vulnerabilidad encadenando el nodo 'Leer/Escribir Archivos desde Disco' con operaciones de Git para ejecutar comandos arbitrarios en el servidor n8n. Esta vulnerabilidad afecta a versiones anteriores a 1.123.8 y se ha solucionado en las versiones 2.2.0 y 1.123.8.
Esta vulnerabilidad permite a un atacante autenticado, con los permisos adecuados para crear o modificar flujos de trabajo, ejecutar código arbitrario en el servidor n8n. El ataque se basa en la capacidad de escribir archivos en el disco a través del nodo 'Leer/Escribir Archivos desde Disco' y luego manipular el sistema de control de versiones Git para ejecutar comandos del sistema operativo. Esto podría resultar en la toma de control completa del servidor, la exfiltración de datos sensibles almacenados en el sistema o el uso del servidor como punto de apoyo para atacar otros sistemas en la red. El impacto es significativo, ya que permite la ejecución de código arbitrario, lo que representa un riesgo grave para la confidencialidad, integridad y disponibilidad de los sistemas afectados.
La vulnerabilidad CVE-2026-27498 fue publicada el 25 de febrero de 2026. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la naturaleza de la RCE la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de actividad maliciosa relacionada con esta vulnerabilidad. La probabilidad de explotación se considera media debido a la necesidad de autenticación y la complejidad del ataque.
Organizations using n8n for workflow automation, particularly those handling sensitive data or integrating with critical systems, are at risk. Environments with overly permissive user roles or those lacking robust security monitoring are especially vulnerable. Shared hosting environments where multiple users share an n8n instance are also at increased risk.
• nodejs / server: Monitor n8n logs for unusual file creation or modification patterns within the Read/Write Files from Disk node directory. Look for suspicious git commands being executed.
find /path/to/n8n/data/ -mmin -60 -type f -print0 | xargs -0 grep -i 'malicious_command'• nodejs / server: Use ps or top to monitor processes running within the n8n container for unexpected command-line arguments or resource consumption.
ps aux | grep n8n• generic web: Check n8n workflow configurations for suspicious file paths or commands that could be exploited. Review user permissions to ensure least privilege access.
disclosure
Estado del Exploit
EPSS
0.44% (63% percentil)
CISA SSVC
Vector CVSS
La solución principal para esta vulnerabilidad es actualizar a la versión 1.123.8 o 2.2.0 de n8n o posterior. Si la actualización no es posible de inmediato, se recomienda restringir los permisos de los usuarios para evitar que puedan crear o modificar flujos de trabajo que utilicen el nodo 'Leer/Escribir Archivos desde Disco'. Además, se puede considerar la implementación de reglas en un firewall de aplicaciones web (WAF) o un proxy para bloquear el tráfico malicioso que intente explotar esta vulnerabilidad. Monitorear los registros del sistema en busca de actividades sospechosas relacionadas con Git o la manipulación de archivos también puede ayudar a detectar y prevenir ataques.
Actualice n8n a la versión 2.2.0 o superior, o a la versión 1.123.8 o superior. Si la actualización no es posible de inmediato, limite los permisos de creación y edición de flujos de trabajo solo a usuarios de confianza, o deshabilite el nodo Read/Write Files from Disk agregando `n8n-nodes-base.readWriteFile` a la variable de entorno `NODES_EXCLUDE`. Tenga en cuenta que estas soluciones alternativas no mitigan completamente el riesgo y solo deben usarse como medidas de mitigación a corto plazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27498 is a remote code execution vulnerability in n8n where an authenticated user can exploit file operations and git commands to execute arbitrary shell commands on the server.
You are affected if you are running n8n versions prior to 1.123.8 or 2.2.0. Verify your version and upgrade immediately if vulnerable.
Upgrade n8n to version 1.123.8 or 2.2.0 or later. As a temporary workaround, restrict user permissions to limit workflow creation and modification.
There is currently no public information indicating active exploitation, but the vulnerability's severity and potential impact warrant immediate remediation.
Refer to the official n8n security advisory for detailed information and updates: [https://n8n.io/security/advisories](https://n8n.io/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.