Plataforma
nodejs
Componente
n8n
Corregido en
1.123.23
2.0.1
2.10.1
1.123.22
CVE-2026-27577 describe una vulnerabilidad de Ejecución Remota de Código (RCE) en n8n, una plataforma de automatización de flujos de trabajo. Esta vulnerabilidad permite a un usuario autenticado con permisos para crear o modificar flujos de trabajo, abusar de expresiones maliciosas en los parámetros del flujo de trabajo para ejecutar comandos del sistema en el host que ejecuta n8n. Las versiones afectadas son aquellas anteriores a 2.10.1, 2.9.3 y 1.123.22. Se recomienda actualizar a una de estas versiones o posterior para solucionar la vulnerabilidad.
La vulnerabilidad de RCE en n8n permite a un atacante, una vez autenticado y con los permisos adecuados, ejecutar comandos arbitrarios en el servidor donde se ejecuta n8n. Esto podría resultar en la toma de control completa del sistema, robo de datos confidenciales, instalación de malware o el uso del servidor como punto de apoyo para ataques a otros sistemas en la red. La capacidad de ejecutar comandos arbitrarios implica un riesgo significativo para la confidencialidad, integridad y disponibilidad de los datos y sistemas afectados. Esta vulnerabilidad se basa en la evaluación de expresiones en n8n, similar a la explotación observada en CVE-2025-68613, lo que sugiere una posible causa raíz común en el manejo de expresiones.
CVE-2026-27577 fue publicado el 25 de febrero de 2026. La vulnerabilidad se relaciona con exploits previos en la evaluación de expresiones de n8n, como CVE-2025-68613. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.9) indica un alto riesgo. Se recomienda monitorear activamente los sistemas n8n para detectar cualquier actividad sospechosa.
Organizations heavily reliant on n8n for workflow automation, particularly those with complex workflows or a large number of users with workflow creation/modification privileges, are at significant risk. Shared hosting environments where multiple users share an n8n instance are also particularly vulnerable, as a compromised user could potentially impact other tenants.
• nodejs: Monitor n8n logs for unusual process executions or errors related to expression evaluation. Use ps aux | grep n8n to check for unexpected child processes spawned by n8n.
• generic web: Examine n8n access logs for requests containing suspicious characters or patterns in workflow parameter values. Use curl -I <n8n_url>/trigger/http to check for exposed endpoints that could be exploited.
• linux / server: Use journalctl -u n8n to filter for error messages or unusual activity related to workflow execution. Implement auditd rules to monitor file access and process creation related to n8n.
disclosure
Estado del Exploit
EPSS
0.13% (33% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-27577 es actualizar n8n a la versión 2.10.1, 2.9.3 o 1.123.22 o a una versión posterior que contenga la corrección. Si la actualización inmediata no es posible, considere implementar restricciones de permisos para limitar la capacidad de los usuarios de crear o modificar flujos de trabajo. Revise cuidadosamente las expresiones utilizadas en los flujos de trabajo existentes para identificar y eliminar cualquier expresión sospechosa. Aunque no es una solución completa, la implementación de un Web Application Firewall (WAF) con reglas para detectar y bloquear la ejecución de comandos del sistema podría proporcionar una capa adicional de protección. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las expresiones maliciosas ya no se pueden ejecutar.
Actualice n8n a la versión 2.10.1, 2.9.3 o 1.123.22, o posterior. Si la actualización no es posible de inmediato, limite los permisos de creación y edición de flujos de trabajo a usuarios de confianza y/o implemente n8n en un entorno reforzado con privilegios restringidos del sistema operativo y acceso a la red.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27577 is a critical Remote Code Execution vulnerability in n8n, allowing authenticated users to execute system commands through crafted workflow expressions.
You are affected if you are running n8n versions prior to 2.10.1, 2.9.3, or 1.123.22. Assess your n8n deployment immediately.
Upgrade n8n to version 2.10.1, 2.9.3, or 1.123.22 or later. As a temporary workaround, restrict user permissions to prevent workflow modification.
While no active exploitation has been publicly confirmed, the vulnerability's severity and ease of exploitation suggest it is likely to be targeted.
Refer to the n8n security advisories on their GitHub repository: https://github.com/n8n-io/n8n/security/advisories
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.