Plataforma
nodejs
Componente
n8n
Corregido en
1.123.28
2.0.1
2.14.1
2.14.1
La vulnerabilidad CVE-2026-33660 es una ejecución remota de código (RCE) que afecta a n8n en versiones 2.14.0 y anteriores. Un usuario autenticado con permisos para crear o modificar flujos de trabajo puede explotar la función "Combine by SQL" del nodo Merge para leer archivos locales en el host de n8n y, potencialmente, ejecutar código malicioso. Se recomienda actualizar a la versión 2.14.1, 2.13.3 o 1.123.27 para solucionar este problema.
Esta vulnerabilidad permite a un atacante, una vez autenticado y con los permisos adecuados, leer archivos sensibles en el servidor n8n. La falta de restricciones adecuadas en el sandbox de AlaSQL permite la ejecución de sentencias SQL que pueden acceder a archivos fuera del entorno previsto. Esto podría resultar en la exposición de información confidencial, como claves API, contraseñas o datos de usuarios. En el peor de los casos, un atacante podría comprometer completamente la instancia de n8n, obteniendo control sobre el servidor subyacente y potencialmente moviéndose lateralmente a otros sistemas en la red. La gravedad de esta vulnerabilidad se debe a la facilidad de explotación y el potencial de impacto significativo en la confidencialidad, integridad y disponibilidad de los sistemas afectados.
La vulnerabilidad CVE-2026-33660 fue publicada el 25 de marzo de 2026. No se ha añadido a KEV en el momento de la redacción. La probabilidad de explotación se considera media debido a la necesidad de autenticación y permisos específicos, aunque la complejidad técnica es relativamente baja. No se han reportado públicamente exploits activos, pero la disponibilidad de la descripción de la vulnerabilidad aumenta el riesgo de que se desarrollen y utilicen.
Organizations heavily reliant on n8n for workflow automation, particularly those with complex workflows involving data merging and SQL operations, are at significant risk. Shared hosting environments where multiple users have access to n8n instances are also vulnerable, as a compromised user could potentially exploit this vulnerability to impact other users on the same server.
• nodejs / server:
ps aux | grep n8n• nodejs / server:
journalctl -u n8n -f | grep "AlaSQL sandbox"• generic web:
curl -I http://your-n8n-instance/ | grep Serverdisclosure
Estado del Exploit
EPSS
0.07% (22% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar n8n a la versión 2.14.1, 2.13.3 o 1.123.27. Si la actualización no es factible de inmediato, se recomienda restringir los permisos de los usuarios para evitar que puedan crear o modificar flujos de trabajo que utilicen el nodo Merge. Además, se debe revisar la configuración del sandbox de AlaSQL para asegurar que las sentencias SQL estén adecuadamente restringidas. Como medida adicional, se puede implementar un firewall de aplicaciones web (WAF) para bloquear solicitudes maliciosas que intenten explotar esta vulnerabilidad. Después de la actualización, confirme que la función "Combine by SQL" del nodo Merge funciona correctamente y no presenta comportamientos inesperados.
Actualice n8n a la versión 2.14.1, 2.13.3 o 1.123.26, o a una versión posterior. Si la actualización no es posible de inmediato, limite los permisos de creación y edición de flujos de trabajo solo a usuarios de confianza, o deshabilite el nodo Merge agregando `n8n-nodes-base.merge` a la variable de entorno `NODES_EXCLUDE`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33660 is a critical Remote Code Execution vulnerability in n8n workflow automation software, allowing authenticated users to execute arbitrary code.
You are affected if you are using n8n versions 2.14.0 or earlier. Upgrade to 2.14.1, 2.13.3, or 1.123.27 to resolve the issue.
Upgrade to n8n version 2.14.1, 2.13.3, or 1.123.27. As a temporary workaround, restrict user permissions and carefully review SQL queries.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation.
Refer to the official n8n security advisory on their website or GitHub repository for detailed information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.