Puntos clave
- Una vulnerabilidad crítica de ejecución remota de código (RCE) no autenticada (CVE-2026-21858, CVSS 10.0) afecta a n8n, una plataforma de automatización de flujos de trabajo ampliamente utilizada.
- La vulnerabilidad permite la completa comprometida de instancias de n8n desplegadas localmente, incluyendo acceso arbitrario a archivos, bypass de autenticación y ejecución de comandos.
- El problema fue descubierto y divulgado de forma responsable por Cyera Research Labs, quienes lo nombraron 'Ni8mare' con parches lanzados poco después.
- Las organizaciones que ejecuten versiones afectadas de n8n deberían actualizar inmediatamente y revisar la exposición de Formularios y Webhooks.
- Las recientes divulgaciones destacan las plataformas de automatización como superficies de ataque de alto impacto debido a su acceso a credenciales, APIs y sistemas internos.
Además de CVE-2026-21858, n8n ha divulgado otras vulnerabilidades críticas en el mismo período, incluyendo problemas relacionados con el acceso arbitrario a archivos y la ejecución remota de código autenticada. Aunque las causas raíz difieren, refuerzan colectivamente la importancia de las actualizaciones oportunas y la minimización de la exposición de los puntos de entrada de los flujos de trabajo.
TL;DR: Cómo comprobar si estás afectado
Puedes estar afectado si estás ejecutando una instancia de n8n autoalojada en una versión dentro de los rangos afectados divulgados por n8n, particularmente versiones anteriores a 1.121.0, y en algunos casos anteriores a 1.121.3 dependiendo de la configuración y las características habilitadas. El riesgo es mayor donde los Formularios o Webhooks son accesibles públicamente.
Opción 1: Usar Aikido (Gratis)
Aikido ayuda a los equipos a identificar:
- Instancias de n8n ejecutando versiones vulnerables
- Formularios y Webhooks expuestos a internet
- Configuraciones de flujo de trabajo que aumentan significativamente la explotabilidad
Esta visibilidad está disponible en la versión gratuita de la plataforma Aikido.
Opción 2: Verificación manual
- Comprueba tu versión de n8n en ejecución
- Revisa si los nodos de Formulario aceptan entrada no autenticada
- Inspecciona la exposición de los endpoints /form y /webhook
- Revisa los nodos habilitados que permiten acceso a archivos o ejecución de comandos
Pasos de remediación
Las organizaciones que ejecuten versiones afectadas deberían:
- Actualice n8n a la versión 1.121.0 o posterior, y a la 1.121.3 cuando corresponda
- Restrinja la exposición innecesaria de n8n a internet
- Requiera autenticación para todos los formularios
- Rote las claves API, los tokens OAuth y las credenciales almacenadas en los flujos de trabajo
- Revise los registros de ejecución de los flujos de trabajo en busca de actividad sospechosa
- Limite o deshabilite el nodo Execute Command a menos que sea estrictamente necesario
¿Quiénes están afectados?
Usted podría verse afectado si:
- Opera una instancia de n8n desplegada localmente
- Su versión se encuentra dentro de los rangos afectados revelados por n8n
- Expone nodos de Formulario o Webhook a usuarios no confiables
Aunque algunas vulnerabilidades de n8n recientemente divulgadas requieren un usuario autenticado, las rutas de ataque más graves implican acceso no autenticado a formularios o webhooks expuestos públicamente. Estos problemas afectan principalmente a las implementaciones autoalojadas en lugar de a los entornos SaaS gestionados.
Contexto
n8n se utiliza ampliamente para orquestar flujos de trabajo entre servicios en la nube, herramientas internas, sistemas de IA y procesos de negocio.
Debido a esto, una única instancia de n8n a menudo tiene un amplio acceso a sistemas internos, credenciales y tokens privilegiados, y la capacidad de activar acciones en diferentes entornos. Esto convierte a las plataformas de automatización en un objetivo de alto valor para los atacantes.
¿En qué consiste el ataque?
CVE-2026-21858 explota una vulnerabilidad de confusión de Content-Type en la forma en que n8n analiza las solicitudes HTTP entrantes a los Webhooks de formulario.
A grandes rasgos:
- El comportamiento de análisis de solicitudes depende del encabezado Content-Type
- Cierta lógica de manejo de archivos asume cargas multipart
- Los atacantes pueden sobrescribir referencias internas de archivos utilizando JSON manipulado
Esto permite a los atacantes:
- Leer archivos arbitrarios del disco
- Extraer secretos y bases de datos
- Forjar sesiones de autenticación
- Ejecutar comandos arbitrarios
Impacto inicial
Según la investigación de Cyera:
- Se estima que 100.000 servidores podrían estar expuestos a nivel global
- Organizaciones de múltiples sectores se ven afectadas
- Los activos potencialmente expuestos incluyen:
- Credenciales de la nube y de API
- Tokens de OAuth
- Secretos de CI/CD
- Datos empresariales sensibles
- Credenciales de la nube y de API
Análisis técnico en profundidad
Ubicación de la vulnerabilidad
La vulnerabilidad reside en el nodo Form Webhook, que procesa las cargas de archivos.
A diferencia de otros manejadores de webhook, esta ruta no aplica estrictamente la validación de contenido multipart, asume que los objetos de archivo internos son de confianza y copia las rutas de archivo controladas por el atacante en el almacenamiento persistente.
Lo que podría hacer
Encadenando esta vulnerabilidad, los atacantes pueden:
- Leer archivos como /etc/passwd
- Extraer la base de datos local de SQLite
- Recuperar claves de cifrado
- Falsificar sesiones de administrador válidas
- Ejecutar comandos arbitrarios del sistema operativo
Prueba de concepto (alto nivel)
Cyera demostró una cadena de compromiso completa:
- Lectura arbitraria de archivos mediante envío de formulario
- Extracción de credenciales y secretos de la base de datos
- Falsificación de sesión utilizando material de firma recuperado
- Ejecución remota de código completa
Causas de estas vulnerabilidades
Estos problemas suelen surgir cuando:
- La entrada del usuario influye en objetos internos de confianza
- Las suposiciones de Content-Type son implícitas en lugar de ser forzadas
- Las plataformas acumulan altos privilegios y una amplia conectividad
- El endurecimiento de la seguridad se queda atrás respecto a la expansión de funcionalidades
Preguntas frecuentes: Vulnerabilidades críticas de n8n explicadas
¿Es este el mismo problema que otras CVE recientes de n8n?
No. CVE-2026-21858 es una vulnerabilidad de ejecución remota de código no autenticada relacionada con el manejo inadecuado de solicitudes de webhook y formularios.
Otros avisos recientes de n8n describen problemas diferentes, incluyendo vulnerabilidades autenticadas que implican acceso o escritura arbitraria de archivos. Aunque técnicamente distintas, exponen riesgos similares cuando los puntos de entrada del flujo de trabajo son ampliamente accesibles.
¿Afecta esto a n8n Cloud o solo a despliegues autoalojados?
Este problema afecta principalmente a las instancias de n8n autoalojadas.
Las rutas de ataque más graves dependen del acceso a archivos locales y secretos a nivel de instancia, que no se exponen de la misma manera en entornos gestionados.
¿La explotación requiere autenticación?
No. Para CVE-2026-21858, la autenticación no es necesaria si los puntos finales vulnerables están expuestos.
Las rutas de ataque no autenticadas suelen ser de mayor riesgo porque pueden ser explotadas de forma remota y a gran escala.
Si actualizo, ¿estoy completamente protegido?
La actualización a las versiones parcheadas aborda las vulnerabilidades conocidas. Sin embargo, la seguridad también depende de la configuración.
Los equipos deben combinar las actualizaciones con una exposición reducida, formularios autenticados y una revisión cuidadosa de los nodos de flujo de trabajo de alto riesgo.
¿Por qué las plataformas de automatización son atacadas con más frecuencia?
Las plataformas de automatización conectan muchos sistemas y almacenan credenciales privilegiadas. Comprometer una plataforma puede proporcionar acceso a múltiples sistemas posteriores, lo que las convierte en objetivos atractivos para los atacantes.
¿Cómo ayuda Aikido con problemas como este?
Aikido ayuda a los equipos a:
- Detectar plataformas de automatización vulnerables en entornos reales
- Identificar formularios expuestos, Webhooks y puntos de entrada de flujo de trabajo de riesgo
- Priorizar los problemas basándose en rutas de explotación reales, no solo en la gravedad de la CVE
- Actúe rápidamente con una guía de remediación clara
Conclusión
Esta vulnerabilidad pone de manifiesto una realidad más amplia. Las plataformas de automatización se han convertido en infraestructura crítica.
Protegerlas requiere la aplicación de parches a tiempo, una exposición reducida y visibilidad sobre cómo las vulnerabilidades pueden ser explotadas realmente en entornos reales.
Apéndice
- CVE: CVE-2026-21858
- Versiones afectadas: Versiones anteriores a la 1.121.0, y en algunos casos anteriores a la 1.121.3
- Tipo de ataque: Ejecución remota de código no autenticada
- Componentes: Webhook de formulario, Gestión de archivos, Gestión de sesiones
Referencias
- Cyera Research Labs: Ejecución remota de código no autenticada en n8n
- Avisos de seguridad de GitHub
- Aikido Intel
<script type="application/ld+json">
{
"@context": "https://schema.org/"
"@graph": [
{
"@type": "Organization"
"@id": "https://www.aikido.dev/#organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev/",
"logo": {
"@type": "ImageObject"
"@id": "https://www.aikido.dev/#logo",
"url": "https://cdn.prod.website-files.com/642adcaf364024552e71df01/642adcaf364024443a71df7a_logo-full-dark.svg"
},
"sameAs": [
"https://www.linkedin.com/company/aikido-security/",
"https://x.com/aikidosecurity",
"https://www.youtube.com/@aikidosecurity"
]
},
{
"@type": "WebSite",
"@id": "https://www.aikido.dev/#website",
"url": "https://www.aikido.dev/",
"name": "Aikido",
"publisher": {
"@id": "https://www.aikido.dev/#organization"
},
"inLanguage": "es"
},
{
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#webpage",
"url": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858"
"name": "n8n Vulnerabilidad Crítica (CVE-2026-21858) | RCE no autenticada explicada",
"isPartOf": {
"@id": "https://www.aikido.dev/#website"
},
"inLanguage": "es",
"breadcrumb": {
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#breadcrumb"
}
},
{
"@type": "BreadcrumbList",
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#breadcrumb",
"itemListElement": [
{
"@type": "ListItem",
"position": 1,
"name": "Inicio",
"item": "https://www.aikido.dev/"
},
{
"@type": "ListItem",
"position": 2,
"name": "Blog",
"item": "https://www.aikido.dev/blog"
},
{
"@type": "ListItem",
"position": 3,
"name": "Vulnerabilidades y Amenazas",
"item": "https://www.aikido.dev/blog"
},
{
"@type": "ListItem",
"position": 4,
"name": "Vulnerabilidad crítica en n8n permite la ejecución remota de código no autenticada (CVE-2026-21858)",
"item": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858"
}
]
},
{
"@type": "Person"
"@id": "https://www.aikido.dev/team-members/sooraj-shah#person",
"name": "Sooraj Shah",
"url": "https://www.aikido.dev/team-members/sooraj-shah",
"jobTitle": "Responsable de Marketing de Contenidos",
"worksFor": {
"@id": "https://www.aikido.dev/#organization"
},
"sameAs": [
"https://www.linkedin.com/in/soorajshah/"
],
"image": {
"@type": "ImageObject"
"url": "https://cdn.prod.website-files.com/642adcaf364024654c71df23/685041c2836d827b7f40d3ef_Sooraj-Shah.jpg"
}
},
{
"@type": "BlogPosting",
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#blogposting",
"mainEntityOfPage": {
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#webpage"
},
"headline": "Vulnerabilidad crítica en n8n permite la ejecución remota de código no autenticado (CVE-2026-21858)"
"description": "Una vulnerabilidad crítica en n8n (CVE-2026-21858) permite la ejecución remota de código no autenticado en instancias autoalojadas. Descubra quiénes están afectados y cómo solucionarlo."
"datePublished": "2026-01-08",
"dateModified": "2026-01-08",
"author": {
"@id": "https://www.aikido.dev/team-members/sooraj-shah#person"
},
"publisher": {
"@id": "https://www.aikido.dev/#organization"
},
"image": {
"@type": "ImageObject"
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#primaryimage",
"url": "https://cdn.prod.website-files.com/642adcaf364024552e71df01/68d1233973be6f8e808d9e65_Frame%2017.svg"
},
"articleSection": "Vulnerabilidades y Amenazas"
"inLanguage": "es",
"keywords": [
"n8n",
"CVE-2026-21858",
"RCE",
"ejecución remota de código",
"vulnerabilidad",
"RCE no autenticado",
"seguridad de la automatización de flujos de trabajo"
]
},
{
"@type": "FAQPage",
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#faq",
"mainEntity": [
{
"@type": "Question",
"name": "¿Es este el mismo problema que otras CVE recientes de n8n?"
"acceptedAnswer": {
"@type": "Answer",
"text": "No. CVE-2026-21858 es una vulnerabilidad de ejecución remota de código no autenticado relacionada con el manejo inadecuado de solicitudes de webhook y formularios. Otros avisos recientes de n8n describen problemas diferentes, incluyendo vulnerabilidades autenticadas que implican acceso arbitrario a archivos o escrituras de archivos. Aunque técnicamente distintos, exponen riesgos similares cuando los puntos de entrada del flujo de trabajo son ampliamente accesibles."
}
},
{
"@type": "Question",
"name": "¿Afecta esto a n8n Cloud o solo a las implementaciones autoalojadas?"
"acceptedAnswer": {
"@type": "Answer",
"text": "Este problema afecta principalmente a las instancias de n8n autoalojadas. Las rutas de ataque más graves se basan en el acceso a archivos locales y secretos a nivel de instancia, que no se exponen de la misma manera en entornos gestionados."
}
},
{
"@type": "Question",
"name": "¿Requiere autenticación la explotación?",
"acceptedAnswer": {
"@type": "Answer",
"text": "No. Para CVE-2026-21858, no se requiere autenticación si los endpoints vulnerables están expuestos. Las rutas de ataque no autenticadas suelen tener un riesgo mayor porque pueden ser explotadas de forma remota y a gran escala."
}
},
{
"@type": "Question",
"name": "Si actualizo, ¿estoy completamente protegido?",
"acceptedAnswer": {
"@type": "Answer",
"text": "La actualización a las versiones parcheadas aborda las vulnerabilidades conocidas. Sin embargo, la seguridad también depende de la configuración. Los equipos deben combinar las actualizaciones con una exposición reducida, formularios autenticados y una revisión cuidadosa de los nodos de flujo de trabajo de alto riesgo."
}
},
{
"@type": "Question",
"name": "¿Por qué las plataformas de automatización son atacadas con más frecuencia?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Las plataformas de automatización conectan muchos sistemas y almacenan credenciales privilegiadas. Comprometer una plataforma puede proporcionar acceso a múltiples sistemas descendentes, lo que las convierte en objetivos atractivos para los atacantes."
}
},
{
"@type": "Question",
"name": "¿Cómo ayuda Aikido con problemas como este?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Aikido ayuda a los equipos a detectar plataformas de automatización vulnerables en entornos reales, identificar Forms expuestos, Webhooks y puntos de entrada de flujos de trabajo de riesgo, priorizar los problemas basándose en rutas de explotación reales (no solo en la gravedad del CVE), y actuar rápidamente con una guía de remediación clara."
}
}
]
}
]
}
</script>
