Se han reportado tres vulnerabilidades críticas que afectan nodos principales de la plataforma, específicamente HTTP Request, Git y XML. Estas fallas pueden ser explotadas por usuarios autenticados con permisos para crear o modificar flujos de trabajo, permitiendo desde contaminación de prototipos y lectura arbitraria de archivos hasta ejecución remota de código en el host donde se ejecuta n8n.
CVE y severidad
- CVE-2026-44789 — CVSS 9.4: La vulnerabilidad afecta al nodo HTTP Request de n8n y se origina por una validación insuficiente de parámetros de paginación. Un usuario autenticado con permisos para crear o modificar workflows podría provocar contaminación global de prototipos. Al combinar esta condición con otras técnicas, el atacante podría lograr ejecución remota de código en la instancia afectada.
- CVE-2026-44790 — CVSS 9.4_ La vulnerabilidad afecta al nodo Git de n8n y permite que un usuario autenticado con permisos de creación o modificación de workflows inyecte banderas de línea de comandos durante operaciones Git Push. Esto podría permitir la lectura arbitraria de archivos en el servidor n8n, incluyendo archivos de configuración, credenciales o variables de entorno, con posibilidad de derivar en compromiso completo de la instancia.
- CVE-2026-44791 — CVSS 9.4: La vulnerabilidad afecta al nodo XML de n8n y corresponde a una evasión de parche relacionada con una vulnerabilidad previa de contaminación de prototipos. Un usuario autenticado con permisos para crear o modificar flujos de trabajo podría evadir la corrección existente en el nodo XML y, al combinar la falla con otros nodos, lograr ejecución remota de código en el host de n8n.
Productos afectados
| CVE | Nodo afectado | Versiones afectadas |
|---|---|---|
| CVE-2026-44789 | HTTP Request | n8n en versiones inferiores a 1.123.43, 2.20.7 y 2.22.1, según la rama utilizada. |
| CVE-2026-44790 | Git | n8n en versiones inferiores a 1.123.43, 2.20.7 y 2.22.1, según la rama utilizada. |
| CVE-2026-44791 | XML | n8n en versiones inferiores a 1.123.43, 2.20.7 y 2.22.1, según la rama utilizada. |
Solución
Actualizar n8n a las versiones 1.123.43, 2.20.7, 2.22.1 o posteriores, donde se corrigen las vulnerabilidades CVE-2026-44789, CVE-2026-44790 y CVE-2026-44791.
Workaround
Como medida de mitigación temporal, cuando no sea posible aplicar el parche de forma inmediata, se recomienda deshabilitar los nodos afectados mediante la variable de entorno NODES_EXCLUDE. Para ello, se deben agregar los siguientes nodos: n8n-nodes-base.httpRequest, n8n-nodes-base.git y n8n-nodes-base.xml. Esta medida reduce la superficie de ataque, pero no reemplaza la actualización a una versión corregida.
Recomendaciones
- Actualizar inmediatamente las instancias de n8n a las versiones 1.123.43, 2.20.7, 2.22.1 o posteriores.
- Restringir los permisos de creación y edición de workflows únicamente a usuarios confiables y con necesidad operativa comprobada.
- Validar que las instancias de n8n no se encuentren expuestas públicamente sin controles de autenticación y acceso adecuados.
- Revisar los workflows existentes, credenciales almacenadas, variables de entorno y registros del servidor para identificar posibles accesos indebidos o modificaciones no autorizadas.
Referencias: