Se ha descubierto una vulnerabilidad crítica en n8n, la popular plataforma de automatización de flujos de trabajo de código abierto, que permite a atacantes autenticados ejecutar comandos arbitrarios en los sistemas donde está alojado. Identificada como CVE-2025-68668, con una puntuación CVSS de 9.9, esta falla afecta el nodo de código Python que usa Pyodide, permitiendo saltarse la sandbox de seguridad inicialmente diseñada. La explotación requiere acceso de red y permisos bajos para creación o modificación de flujos.
CVE y severidad
| CVE | Severidad | CVSS Base | Tipo de vulnerabilidad | Vector de ataque | Impacto |
|---|---|---|---|---|---|
| CVE-2025-68668 | Crítica | 9.9/10 | Bypass de sandbox / Fallo en mecanismos de protección (CWE-693) | Red | Ejecución arbitraria de comandos en sistema local con privilegios del proceso n8n |
Productos afectados
La vulnerabilidad afecta a n8n (npm) en todas las versiones desde la 1.0.0 hasta antes de la 2.0.0.
Solución
Actualizar inmediatamente a n8n versión 2.0.0 o posterior.
Recomendaciones
Se recomienda priorizar la actualización a la versión corregida, garantizando después la validación de la correcta aplicación del parche. Para implementaciones que no puedan actualizar de inmediato, aplicar medidas temporales para reducir la exposición y limitar permisos.
Workarounds
- Deshabilitar completamente el nodo de código estableciendo la variable de entorno NODES_EXCLUDE para excluir n8n-nodes-base.code.
- Desactivar el soporte Python mediante la variable de entorno N8N_PYTHON_ENABLED=false (disponible desde la versión 1.104.0).
- Habilitar el modelo de ejecución Python con aislamiento por task runner configurando las variables N8N_RUNNERS_ENABLED y N8N_NATIVE_PYTHON_RUNNER.