Puntos clave
- Una vulnerabilidad crítica no autenticada de ejecución remota de código (RCE) (CVE-2026-21858, CVSS 10.0) afecta a n8n, una plataforma de automatización de flujos de trabajo muy utilizada.
- La vulnerabilidad permite comprometer por completo las instancias de n8n implementadas localmente, lo que incluye el acceso arbitrario a archivos, la omisión de la autenticación y la ejecución de comandos.
- El problema fue descubierto y revelado de forma responsable por Cyera Research Labs, que lo denominó «Ni8mare» y publicó los parches poco después.
- Las organizaciones que utilicen las versiones afectadas de n8n deben actualizarlas inmediatamente y revisar la exposición de los formularios y los webhooks.
- Las recientes revelaciones ponen de relieve que las plataformas de automatización son superficies de ataque de gran impacto debido a su acceso a credenciales, API y sistemas internos.
Además de CVE-2026-21858, n8n ha revelado otras vulnerabilidades críticas en el mismo periodo, incluyendo problemas relacionados con el acceso arbitrario a archivos y la ejecución remota de código autenticado. Aunque las causas fundamentales difieren, en conjunto refuerzan la importancia de realizar actualizaciones oportunas y minimizar la exposición de los puntos de entrada del flujo de trabajo.
TL;DR: Cómo comprobar si te ves afectado
Puede verse afectado si está ejecutando una instancia n8n autohospedada en una versión dentro de los rangos afectados divulgados por n8n, en particular las versiones anteriores a la 1.121.0 y, en algunos casos, anteriores a la 1.121.3, dependiendo de la configuración y las funciones habilitadas. El riesgo es mayor cuando los formularios o los webhooks son de acceso público.
Opción 1: Utilizar Aikido (gratis)
El aikido ayuda a los equipos a identificar:
- Instancias de n8n que ejecutan versiones vulnerables
- Formularios expuestos a Internet y webhooks
- Configuraciones de flujo de trabajo que aumentan significativamente la explotabilidad.
Esta visibilidad está disponible en la versión gratuita de la plataforma Aikido.
Opción 2: Verificación manual
- Comprueba tu versión actual de n8n.
- Revisar si los nodos del formulario aceptan entradas no autenticadas.
- Inspeccionar la exposición de los puntos finales /form y /webhook.
- Revisar los nodos habilitados que permiten el acceso a archivos o la ejecución de comandos.
Pasos para la remediación
Las organizaciones que utilicen las versiones afectadas deben:
- Actualice n8n a la versión 1.121.0 o posterior, y a la 1.121.3 cuando sea aplicable.
- Restringir la exposición innecesaria a Internet de n8n
- Requerir autenticación para todos los formularios
- Rote las claves API, los tokens OAuth y las credenciales almacenadas en los flujos de trabajo.
- Revisar los registros de ejecución del flujo de trabajo en busca de actividades sospechosas.
- Limite o desactive el nodo Ejecutar comando a menos que sea estrictamente necesario.
¿Quiénes se ven afectados?
Usted puede verse afectado si:
- Usted opera una instancia de n8n implementada localmente.
- Tu versión se encuentra dentro de los rangos afectados revelados por n8n.
- Expone nodos Form o Webhook a usuarios no confiables.
Si bien algunas vulnerabilidades de n8n recientemente reveladas requieren un usuario autenticado, las vías de ataque más graves implican el acceso no autenticado a formularios o webhooks expuestos públicamente. Estos problemas afectan principalmente a las implementaciones autohospedadas, más que a los entornos SaaS gestionados.
Antecedentes
n8n se utiliza ampliamente para coordinar flujos de trabajo entre servicios en la nube, herramientas internas, sistemas de inteligencia artificial y procesos empresariales.
Debido a esto, una sola instancia de n8n suele tener un amplio acceso a los sistemas internos, credenciales y tokens privilegiados, y la capacidad de desencadenar acciones en todos los entornos. Esto convierte a las plataformas de automatización en un objetivo de gran valor para los atacantes.
¿De qué se trata el ataque?
CVE-2026-21858 aprovecha una vulnerabilidad de confusión de tipo de contenido en la forma en que n8n analiza las solicitudes HTTP entrantes a Form Webhooks.
A alto nivel:
- El comportamiento de análisis de solicitudes depende del encabezado Content-Type.
- Cierta lógica de manejo de archivos asume cargas multiparte.
- Los atacantes pueden anular las referencias internas a archivos utilizando JSON manipulados.
Esto permite a los atacantes:
- Leer archivos arbitrarios del disco
- Extraer secretos y bases de datos
- Sesiones de autenticación de Forge
- Ejecutar comandos arbitrarios
Impacto inicial
Según la investigación de Cyera:
- Se estima que 100 000 servidores podrían estar expuestos a nivel mundial .
- Las organizaciones de múltiples sectores se ven afectadas.
- Los activos potencialmente expuestos incluyen:
- Credenciales de nube y API
- Tokens OAuth
- Secretos de CI/CD
- Datos comerciales confidenciales
- Credenciales de nube y API
Análisis técnico en profundidad
Donde vivía la vulnerabilidad
El fallo reside en el nodo Form Webhook, que procesa las cargas de archivos.
A diferencia de otros controladores de webhook, esta ruta no aplica estrictamente la validación de contenido multiparte, asume que los objetos de archivo internos son confiables y copia las rutas de archivo controladas por el atacante en un almacenamiento persistente.
Lo que podría hacer
Al encadenar esta falla, los atacantes pueden:
- Leer archivos como /etc/passwd
- Extraiga la base de datos SQLite local.
- Recuperar claves de cifrado
- Forjar sesiones administrativas válidas
- Ejecutar comandos arbitrarios del sistema operativo.
Prueba de concepto (alto nivel)
Cyera demostró una cadena de compromiso completa:
- Lectura arbitraria de archivos mediante el envío de formularios
- Extracción de credenciales y secretos de la base de datos
- Falsificación de sesión utilizando material de firma recuperado
- Ejecución remota completa de código
¿Por qué se producen estas vulnerabilidades?
Estos problemas suelen surgir cuando:
- Las entradas del usuario influyen en los objetos internos de confianza.
- Las suposiciones sobre el tipo de contenido son implícitas, en lugar de obligatorias.
- Las plataformas acumulan grandes privilegios y una amplia conectividad.
- El refuerzo de la seguridad va a la zaga de la expansión de funciones.
Preguntas frecuentes: explicación de las vulnerabilidades críticas de n8n
¿Es este el mismo problema que otros CVE recientes de n8n?
No. CVE-2026-21858 es una vulnerabilidad de ejecución remota de código no autenticada relacionada con el manejo inadecuado de solicitudes de webhook y formularios.
Otros avisos recientes de n8n describen diferentes problemas, incluidas vulnerabilidades autenticadas relacionadas con el acceso arbitrario a archivos o la escritura de archivos. Aunque técnicamente son distintos, exponen riesgos similares cuando los puntos de entrada del flujo de trabajo son ampliamente accesibles.
¿Esto afecta a n8n Cloud o solo a las implementaciones autohospedadas?
Este problema afecta principalmente a las instancias n8n autohospedadas.
Las vías de ataque más graves dependen del acceso a archivos locales y secretos a nivel de instancia, que no quedan expuestos de la misma manera en entornos gestionados.
¿La explotación requiere autenticación?
No. Para CVE-2026-21858, no se requiere autenticación si los puntos finales vulnerables están expuestos.
Las vías de ataque no autenticadas suelen presentar un mayor riesgo, ya que pueden explotarse de forma remota y a gran escala.
Si actualizo, ¿estaré totalmente protegido?
La actualización a las versiones parcheadas soluciona las vulnerabilidades conocidas. Sin embargo, la seguridad también depende de la configuración.
Los equipos deben combinar las actualizaciones con una exposición reducida, formularios autenticados y una revisión minuciosa de los nodos de flujo de trabajo de alto riesgo.
¿Por qué las plataformas de automatización son cada vez más frecuentemente objeto de ataques?
Las plataformas de automatización conectan muchos sistemas y contienen credenciales privilegiadas. Comprometer una plataforma puede proporcionar acceso a múltiples sistemas descendentes, lo que las convierte en objetivos atractivos para los atacantes.
¿Cómo ayuda el aikido con problemas como este?
El aikido ayuda a los equipos:
- Detectar plataformas de automatización vulnerables en entornos reales.
- Identifique formularios expuestos, webhooks y puntos de entrada de flujos de trabajo riesgosos.
- Prioriza los problemas basándote en rutas de explotación reales, no solo en la gravedad de CVE.
- Actúe rápidamente con una guía clara para la reparación.
Conclusión
Esta vulnerabilidad pone de relieve una realidad más amplia. Las plataformas de automatización se han convertido en una infraestructura crítica.
Para protegerlos es necesario aplicar parches oportunos, reducir la exposición y conocer cómo se pueden explotar realmente las vulnerabilidades en entornos reales.
Apéndice
- CVE: CVE-2026-21858
- Versiones afectadas: Versiones anteriores a la 1.121.0 y, en algunos casos, anteriores a la 1.121.3.
- Tipo de ataque: Ejecución remota de código no autenticado
- Componentes: Formulario Webhook, gestión de archivos, gestión de sesiones
Referencias
- Cyera Research Labs: Ejecución remota de código no autenticado en n8n
- Advertencias de seguridad de GitHub
- Aikido Intel
Protege tu software ahora.
<script type="application/ld+json">
{
"@context": "https://schema.org/"
«@graph»: [
{
"@type": "Organization"
«@id»: «https://www.aikido.dev/#organization»,
«nombre»: «Aikido Security»,
"url": "https://www.aikido.dev/",
"logo": {
"@type": "ImageObject"
«@id»: «https://www.aikido.dev/#logo»,
"url": "https://cdn.prod.website-files.com/642adcaf364024552e71df01/642adcaf364024443a71df7a_logo-full-dark.svg"
},
«sameAs»: [
«https://www.linkedin.com/company/aikido-security/»,
«https://x.com/aikidosecurity»,
«https://www.youtube.com/@aikidosecurity»
]
},
{
«@type»: «Sitio web»,
«@id»: «https://www.aikido.dev/#website»,
"url": "https://www.aikido.dev/",
«nombre»: «Aikido»,
"publisher": {
«@id»: «https://www.aikido.dev/#organization»
},
«inLanguage»: «en»
},
{
«@type»: «WebPage»,
«@id»: «https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#webpage»,
"url": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858",
«nombre»: «Vulnerabilidad crítica de n8n (CVE-2026-21858) | Explicación del RCE no autenticado»,
"isPartOf": {
«@id»: «https://www.aikido.dev/#website»
},
«inLanguage»: «en»,
"breadcrumb": {
«@id»: «https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#breadcrumb»
}
},
{
«@type»: «BreadcrumbList»,
«@id»: «https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#breadcrumb»,
"itemListElement": [
{
«@type»: «ListItem»,
«posición»: 1,
"nombre": "Inicio",
«item»: «https://www.aikido.dev/»
},
{
«@type»: «ListItem»,
«posición»: 2,
«nombre»: «Blog»,
«item»: «https://www.aikido.dev/blog»
},
{
«@type»: «ListItem»,
«posición»: 3,
«nombre»: «Vulnerabilidades y amenazas»,
«item»: «https://www.aikido.dev/blog»
},
{
«@type»: «ListItem»,
«posición»: 4,
«nombre»: «Vulnerabilidad crítica de n8n que permite la ejecución remota de código sin autenticación (CVE-2026-21858)»,
«item»: «https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858»
}
]
},
{
"@type": "Person"
«@id»: «https://www.aikido.dev/team-members/sooraj-shah#person»,
«nombre»: «Sooraj Shah»,
"url": "https://www.aikido.dev/team-members/sooraj-shah",
«jobTitle»: «Responsable de marketing de contenidos»,
"worksFor": {
«@id»: «https://www.aikido.dev/#organization»
},
«sameAs»: [
«https://www.linkedin.com/in/soorajshah/»
],
"image": {
"@type": "ImageObject"
«url»: «https://cdn.prod.website-files.com/642adcaf364024654c71df23/685041c2836d827b7f40d3ef_Sooraj-Shah.jpg»
}
},
{
«@type»: «BlogPosting»,
«@id»: «https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#blogposting»,
"mainEntityOfPage": {
«@id»: «https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#webpage»
},
«titular»: «Una vulnerabilidad crítica en n8n permite la ejecución remota de código sin autenticación (CVE-2026-21858)»,
«descripción»: «Una vulnerabilidad crítica en n8n (CVE-2026-21858) permite la ejecución remota de código sin autenticación en instancias autohospedadas. Descubra quiénes se ven afectados y cómo solucionarlo.»,
«datePublished»: «2026-01-08»,
«dateModified»: «2026-01-08»,
"author": {
«@id»: «https://www.aikido.dev/team-members/sooraj-shah#person»
},
"publisher": {
«@id»: «https://www.aikido.dev/#organization»
},
"image": {
"@type": "ImageObject"
«@id»: «https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#primaryimage»,
«url»: «https://cdn.prod.website-files.com/642adcaf364024552e71df01/68d1233973be6f8e808d9e65_Frame%2017.svg»
},
«articleSection»: «Vulnerabilidades y amenazas»,
«inLanguage»: «en»,
«palabras clave»: [
«n8n»,
«CVE-2026-21858»,
«RCE»,
«ejecución remota de código»,
«vulnerabilidad»,
«RCE no autenticado»,
«automatización de flujos de trabajo y seguridad»
]
},
{
«@type»: «FAQPage»,
«@id»: «https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#faq»,
«mainEntity»: [
{
«@type»: «Pregunta»,
«nombre»: «¿Es este el mismo problema que otros CVE recientes de n8n?»,
"acceptedAnswer": {
«@type»: «Respuesta»,
«text»: «No. CVE-2026-21858 es una vulnerabilidad de ejecución remota de código no autenticada relacionada con el manejo inadecuado de solicitudes de webhook y formularios. Otros avisos recientes de n8n describen diferentes problemas, incluidas vulnerabilidades autenticadas que implican el acceso arbitrario a archivos o la escritura de archivos. Aunque técnicamente son distintos, exponen riesgos similares cuando los puntos de entrada del flujo de trabajo son ampliamente accesibles».
}
},
{
«@type»: «Pregunta»,
«nombre»: «¿Esto afecta a n8n Cloud o solo a las implementaciones autohospedadas?»,
"acceptedAnswer": {
«@type»: «Respuesta»,
«texto»: «Este problema afecta principalmente a las instancias n8n autohospedadas. Las vías de ataque más graves se basan en el acceso a archivos locales y secretos a nivel de instancia, que no quedan expuestos de la misma manera en entornos gestionados».
}
},
{
«@type»: «Pregunta»,
«nombre»: «¿La explotación requiere autenticación?»,
"acceptedAnswer": {
«@type»: «Respuesta»,
«text»: «No. Para CVE-2026-21858, no se requiere autenticación si los puntos finales vulnerables están expuestos. Las rutas de ataque no autenticadas suelen suponer un mayor riesgo, ya que pueden explotarse de forma remota y a gran escala».
}
},
{
«@type»: «Pregunta»,
«nombre»: «Si actualizo, ¿estaré totalmente protegido?»,
"acceptedAnswer": {
«@type»: «Respuesta»,
«text»: «La actualización a las versiones parcheadas soluciona las vulnerabilidades conocidas. Sin embargo, la seguridad también depende de la configuración. Los equipos deben combinar las actualizaciones con una exposición reducida, formularios autenticados y una revisión minuciosa de los nodos de flujo de trabajo de alto riesgo».
}
},
{
«@type»: «Pregunta»,
«nombre»: «¿Por qué las plataformas de automatización son cada vez más frecuentemente objeto de ataques?»,
"acceptedAnswer": {
«@type»: «Respuesta»,
«texto»: «Las plataformas de automatización conectan muchos sistemas y contienen credenciales privilegiadas. Comprometer una plataforma puede proporcionar acceso a múltiples sistemas descendentes, lo que las convierte en objetivos atractivos para los atacantes».
}
},
{
«@type»: «Pregunta»,
«nombre»: «¿Cómo ayuda el aikido con problemas como este?»,
"acceptedAnswer": {
«@type»: «Respuesta»,
«text»: «Aikido ayuda a los equipos a detectar plataformas de automatización vulnerables en entornos reales, identificar formularios expuestos, webhooks y puntos de entrada de flujos de trabajo riesgosos, priorizar problemas basándose en rutas de explotación reales (no solo en la gravedad de CVE) y actuar rápidamente con una guía clara para la corrección».
}
}
]
}
]
}
</script>
.avif)
