Se ha identificado una vulnerabilidad crítica en n8n, plataforma de automatización de flujos de trabajo de código abierto, que permite ejecución remota de código (RCE) en los servidores anfitriones. La falla, rastreada como CVE-2026-33660, reside en el nodo «Merge» con el modo «Combine by SQL» y permite a atacantes autenticados eludir restricciones de seguridad, acceder a datos sensibles y comprometer totalmente el servidor subyacente.
CVE y severidad
| CVE | Severidad | CVSS | Componente afectado | Estado de explotación |
|---|---|---|---|---|
| CVE-2026-33660 | Crítica | 9.4 | Nodo «Merge» con modo «Combine by SQL» (sandbox AlaSQL) | Explotación confirmada en entornos productivos |
Productos afectados
| Fabricante | Producto | Versiones afectadas |
|---|---|---|
| n8n GmbH | n8n | 2.14.0; Versiones comprendidas entre 2.0.0-rc.0 y 2.13.3; Todas las versiones anteriores a 1.123.27. |
Solución
Actualizar n8n a las versiones corregidas 2.14.1, 2.13.3, 1.123.27.
Recomendaciones
Priorizar la aplicación inmediata del parche oficial. En caso de no poder actualizar de inmediato, restringir estrictamente los permisos para creación y modificación de flujos únicamente a personal confiable y evaluar la desactivación temporal del nodo vulnerable mediante la variable ambiental NODES_EXCLUDE=n8n-nodes-base.merge.
Workarounds
Como mitigación temporal, se puede deshabilitar el nodo problemático añadiendo n8n-nodes-base.merge a la variable ambiental NODES_EXCLUDE, junto con una auditoría estricta de los usuarios con permisos para editar workflows. No obstante, esta medida no elimina completamente el riesgo.
Referencias
- https://cybersecuritynews.com/n8n-vulnerability/
- NVD – CVE-2026-33660
- MITRE – CVE-2026-33660
- Aviso oficial de seguridad n8n en GitHub
- Dark Reading: Vulnerabilidad crítica de RCE en n8n por escape de sandbox AlaSQL
- https://www.incibe.es/index.php/incibe-cert/alerta-temprana/avisos/ejecucion-remota-de-codigo-en-el-nodo-merge-del-modo-alasql-sql-de-n8n