Alerta de CISA: Vulnerabilidad RCE en n8n expone a más de 24,700 instancias

Introducción

Recientemente, la Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA) ha añadido una vulnerabilidad crítica en la plataforma de automatización de flujos de trabajo n8n a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV). Esta vulnerabilidad, identificada como CVE-2025-68613, presenta un riesgo significativo para más de 24,700 instancias expuestas.

¿Qué sucedió?

CISA notificó de la explotación activa de la vulnerabilidad CVE-2025-68613, relacionada con la inyección de expresiones que permite la ejecución remota de código (RCE). Esta falla, que recibió un puntaje CVSS de 9.9, permite a atacantes autenticados ejecutar código arbitrario con privilegios del proceso n8n. La vulnerabilidad fue parcheada en las versiones 1.120.4, 1.121.1 y 1.122.0 de n8n, lanzadas en diciembre de 2025.

Impacto y Riesgo

La explotación exitosa de esta vulnerabilidad podría resultar en una completa toma de control de la instancia, comprometiendo el acceso a datos sensibles, la modificación de flujos de trabajo e incluso la ejecución de operaciones a nivel de sistema. Según datos de la Shadowserver Foundation, se han identificado más de 24,700 instancias no parcheadas en línea, destacando más de 12,300 en América del Norte y 7,800 en Europa.

Recomendaciones

• Actualizar las instancias de n8n a las versiones parcheadas lo antes posible.
• Realizar auditorías periódicas sobre la seguridad de sus sistemas para detectar vulnerabilidades.
• Implementar monitoreo constante sobre las actividades en sus plataformas de automatización.
• Informar a todo el personal clave sobre la vulnerabilidad y los pasos a seguir.

Conclusión

La inclusión de CVE-2025-68613 en el catálogo de KEV de CISA subraya la importancia de mantener los sistemas actualizados y de ser proactivos en la gestión de vulnerabilidades. El riesgo de explotación activa demuestra que es fundamental adoptar medidas de seguridad robustas.