Se ha descubierto una vulnerabilidad de ejecución remota de código (RCE) sin necesidad de autenticación en n8n, la plataforma popular de automatización de flujos de trabajo. Identificada como CVE-2026-21858, esta falla permite a atacantes no autenticados ejecutar comandos arbitrarios en el sistema y comprometimiento total del host, afectando especialmente implementaciones autoalojadas y expuestas a internet.
CVE y severidad
| CVE | CVSS | Severidad | Componentes afectados | Estado de explotación |
|---|---|---|---|---|
| CVE-2026-21858 | 10.0 | Crítica | Webhook – Form Webhook node (parser de Content-Type) | Exploit público y activo |
Productos afectados
Vulnerabilidad afecta todas las versiones de n8n anteriores a la 1.121.0, principalmente aquellas desplegadas autoalojadas y accesibles desde internet.
Solución
Actualizar a n8n versión 1.121.0 o superior.
Recomendaciones
Priorizar la actualización inmediata para mitigar riesgo crítico; restringir el acceso directo a internet a las instancias de n8n y requerir autenticación en todos los nodos Form para reducir la superficie de ataque.