Vulnerabilidad n8n CVE-2025-68613: 103,476 Instancias en Riesgo Dic 2025

Vulnerabilidad n8n CVE-2025-68613: Una falla crítica de seguridad con puntuación CVSS 9.9 afecta a más de 103,476 instancias de la plataforma de automatización n8n. Descubierta por el investigador Fatih Çelik y revelada el 19 de diciembre de 2025, esta vulnerabilidad n8n CVE-2025-68613 permite a atacantes autenticados ejecutar código arbitrario con privilegios del proceso n8n, comprometiendo completamente servidores, datos sensibles y flujos de trabajo automatizados.

¿Qué es la Vulnerabilidad n8n CVE-2025-68613?

La vulnerabilidad n8n CVE-2025-68613 es una falla de inyección de expresiones clasificada como CWE-913 (control inadecuado de recursos de código gestionados dinámicamente) que afecta el motor de evaluación de expresiones en flujos de trabajo. Según los mantenedores de n8n, «las expresiones suministradas por usuarios autenticados durante la configuración de flujos pueden ser evaluadas en un contexto de ejecución que no está suficientemente aislado del entorno de ejecución subyacente».

Esta insuficiente aislación del sandbox permite que atacantes con credenciales válidas escapen del contexto previsto y ejecuten comandos a nivel del sistema operativo. La explotación exitosa de esta vulnerabilidad n8n CVE-2025-68613 puede resultar en:

• Ejecución remota de código (RCE) con privilegios del proceso n8n
• Compromiso total del servidor donde corre la instancia
• Acceso no autorizado a datos sensibles procesados por flujos de trabajo
• Modificación o destrucción de automatizaciones críticas
• Exfiltración de credenciales almacenadas en configuraciones
• Pivoteo hacia otros sistemas en la red interna

Versiones Afectadas por Vulnerabilidad n8n CVE-2025-68613

La vulnerabilidad n8n CVE-2025-68613 afecta a un rango extenso de versiones del motor de flujos de trabajo:

Con aproximadamente 57,000 descargas semanales en npm y más de 103,476 instancias potencialmente vulnerables detectadas por Censys al 22 de diciembre de 2025, el impacto global de esta vulnerabilidad n8n CVE-2025-68613 es masivo. La mayoría de las instancias expuestas se localizan en Estados Unidos, Alemania, Francia, Brasil y Singapur.

Análisis Técnico: Cómo Funciona la Vulnerabilidad n8n CVE-2025-68613

La vulnerabilidad n8n CVE-2025-68613 explota debilidades en el mecanismo de evaluación de expresiones JavaScript dentro de configuraciones de flujos de trabajo. n8n utiliza expresiones dinámicas para procesar datos entre nodos, pero la implementación del sandbox de seguridad presentaba fallos críticos.

Vector de Ataque

El vector CVSS v3.1 de esta vulnerabilidad n8n CVE-2025-68613 es:

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

• AV:N (Attack Vector: Network) – Explotable remotamente
• AC:L (Attack Complexity: Low) – No requiere condiciones especiales
• PR:L (Privileges Required: Low) – Solo necesita autenticación básica
• UI:N (User Interaction: None) – No requiere interacción de víctima
• S:C (Scope: Changed) – Afecta recursos fuera del componente vulnerable
• C:H/I:H/A:H – Impacto alto en confidencialidad, integridad y disponibilidad

Proof of Concept (PoC)

Investigadores han publicado código de prueba de concepto (PoC) que demuestra cómo explotar la vulnerabilidad n8n CVE-2025-68613. La disponibilidad pública de PoCs incrementa materialmente el riesgo, ya que atacantes con habilidades técnicas moderadas pueden ahora comprometer instancias vulnerables. Para más información sobre vulnerabilidades críticas de seguridad, puedes consultar nuestro análisis de amenazas recientes.

Impacto de la Vulnerabilidad n8n CVE-2025-68613 en Organizaciones

n8n es ampliamente utilizada en entornos empresariales para automatizar flujos de trabajo críticos: integraciones entre sistemas, procesamiento de datos, orquestación de APIs, y automatizaciones de DevOps. El compromiso de una instancia n8n mediante la vulnerabilidad n8n CVE-2025-68613 puede tener consecuencias devastadoras:

• Pérdida de datos confidenciales: Flujos de trabajo procesan tokens de API, credenciales de bases de datos, información de clientes y datos financieros
• Interrupción operacional: Modificación o eliminación de automatizaciones críticas para el negocio
• Movimiento lateral: Las credenciales almacenadas permiten acceso a otros sistemas internos
• Persistencia: Atacantes pueden mantener acceso oculto modificando flujos legítimos
• Cumplimiento normativo: Violaciones de GDPR, HIPAA u otras regulaciones de protección de datos

Orca Security advierte que organizaciones que confían en n8n para procesos críticos deben considerar esta vulnerabilidad n8n CVE-2025-68613 como una amenaza de prioridad máxima que requiere acción inmediata. Similar a otros incidentes de explotación de vulnerabilidades críticas, el tiempo entre divulgación y explotación masiva es mínimo.

Mitigaciones y Parches para Vulnerabilidad n8n CVE-2025-68613

Los mantenedores de n8n lanzaron parches de seguridad el 19 de diciembre de 2025 que corrigen la vulnerabilidad n8n CVE-2025-68613 endureciendo el sistema de evaluación de expresiones y previniendo escapes del sandbox.

Actualización Inmediata (Recomendación Crítica)

Todas las organizaciones que ejecutan n8n deben actualizar inmediatamente a una de las siguientes versiones seguras:

• n8n 1.120.4
• n8n 1.121.1
• n8n 1.122.0 o superior

# Para instalaciones npm
npm update n8n

# Para instalaciones Docker
docker pull n8nio/n8n:latest
docker-compose up -d

Medidas de Mitigación Temporal

Si el parcheo inmediato no es posible debido a restricciones operacionales, se recomiendan las siguientes mitigaciones temporales para reducir la superficie de ataque de la vulnerabilidad n8n CVE-2025-68613:

1. Restringir permisos de creación/edición de flujos exclusivamente a usuarios de máxima confianza
2. Implementar autenticación multifactor (MFA) para todas las cuentas con acceso a n8n
3. Desplegar n8n en entornos endurecidos con privilegios de sistema operativo restringidos
4. Aislar instancias n8n en segmentos de red con acceso limitado mediante firewalls
5. Monitorear logs de acceso y modificaciones a flujos de trabajo en busca de actividad sospechosa
6. Auditar flujos existentes en busca de expresiones anómalas o maliciosas
7. Limitar conectividad de red saliente desde el servidor n8n para prevenir exfiltración

Estas medidas NO eliminan la vulnerabilidad pero reducen significativamente la probabilidad de explotación exitosa. Para organizaciones que utilizan infraestructura basada en contenedores, es crítico actualizar las imágenes Docker inmediatamente.

Detección de Explotación de Vulnerabilidad n8n CVE-2025-68613

Los equipos de seguridad deben implementar detección proactiva para identificar intentos de explotación de la vulnerabilidad n8n CVE-2025-68613:

Indicadores de Compromiso (IOCs)

• Creación o modificación inusual de flujos de trabajo por cuentas poco activas
• Expresiones JavaScript sospechosas que contengan funciones eval(), require(), process, child_process
• Conexiones de red salientes inesperadas desde el proceso n8n
• Ejecución de comandos del sistema operativo desde el contexto de n8n
• Acceso a archivos sensibles fuera de directorios esperados de n8n
• Picos anómalos en uso de CPU/memoria del proceso n8n

Respuesta a Incidentes

Si se detecta explotación confirmada de la vulnerabilidad n8n CVE-2025-68613:

1. Aislar inmediatamente la instancia comprometida de la red
2. Preservar evidencia forense (logs, memoria, disco)
3. Rotar todas las credenciales almacenadas en flujos de trabajo
4. Auditar sistemas conectados en busca de movimiento lateral
5. Restaurar desde backup verificado anterior a la intrusión
6. Aplicar parches antes de reconectar a la red
7. Notificar a autoridades según requisitos de cumplimiento

Contexto Global de Seguridad: Vulnerabilidad n8n CVE-2025-68613

La revelación de la vulnerabilidad n8n CVE-2025-68613 se suma a una serie de fallos críticos descubiertos en diciembre de 2025 que afectan infraestructura empresarial:

• CVE-2025-20393: Cisco AsyncOS zero-day explotado por APT chino (CVSS 10.0)
• CVE-2025-59718/59719: Bypass de autenticación SAML en Fortinet FortiGate (CVSS 9.8)
• CVE-2025-14733: Zero-day en WatchGuard Firebox añadido al catálogo KEV de CISA
• CVE-2025-62221: Zero-day de Windows explotado activamente (Patch Tuesday diciembre)

Este patrón de vulnerabilidades críticas en herramientas de automatización e infraestructura subraya la importancia de programas robustos de gestión de vulnerabilidades y parcheo oportuno. Las organizaciones deben mantener inventarios actualizados de software, suscribirse a avisos de seguridad de fabricantes y establecer procesos ágiles de respuesta a vulnerabilidades críticas como la vulnerabilidad n8n CVE-2025-68613.

Recomendaciones de Seguridad a Largo Plazo

Más allá del parcheo inmediato de la vulnerabilidad n8n CVE-2025-68613, las organizaciones deben implementar prácticas de seguridad sostenibles:

• Principio de mínimo privilegio: Limitar permisos de usuarios y procesos al mínimo necesario
• Defensa en profundidad: Múltiples capas de controles de seguridad (red, host, aplicación)
• Segmentación de red: Aislar sistemas críticos en VLANs o segmentos protegidos
• Monitoreo continuo: Detección y respuesta a amenazas 24/7 mediante SIEM/EDR
• Gestión de secretos: Utilizar vaults especializados (HashiCorp Vault, AWS Secrets Manager) en lugar de almacenar credenciales en flujos
• Revisión de código: Auditar expresiones y flujos de trabajo antes de producción
• Backups inmutables: Mantener copias de respaldo protegidas contra ransomware
• Pruebas de penetración: Evaluaciones periódicas de seguridad de infraestructura crítica

Para organizaciones que gestionan múltiples vulnerabilidades críticas simultáneamente, es esencial priorizar según riesgo real: exposición a Internet, criticidad del sistema, disponibilidad de explotación activa y datos procesados.

Preguntas Frecuentes sobre Vulnerabilidad n8n CVE-2025-68613

¿Qué es CVE-2025-68613?

CVE-2025-68613 es una vulnerabilidad crítica (CVSS 9.9) en n8n que permite ejecución remota de código mediante inyección de expresiones en flujos de trabajo, afectando versiones 0.211.0 hasta 1.120.4.

¿Cuántas instancias de n8n están vulnerables?

Según Censys, al 22 de diciembre de 2025 existen 103,476 instancias potencialmente vulnerables a CVE-2025-68613, concentradas principalmente en EE.UU., Alemania, Francia, Brasil y Singapur.

¿Cómo actualizo n8n para corregir CVE-2025-68613?

Actualiza a versiones 1.120.4, 1.121.1 o 1.122.0+ usando npm update n8n para instalaciones npm o docker pull n8nio/n8n:latest para despliegues Docker.

¿Se requiere autenticación para explotar CVE-2025-68613?

Sí, CVE-2025-68613 requiere autenticación válida (PR:L), pero solo necesita permisos básicos de creación/edición de flujos de trabajo, no privilegios administrativos.

¿Existe código de explotación público para CVE-2025-68613?

Sí, investigadores han publicado Proof of Concept (PoC) que demuestra la explotación de CVE-2025-68613, incrementando significativamente el riesgo de ataques masivos.

Conclusión: Acción Urgente Requerida

La vulnerabilidad n8n CVE-2025-68613 representa una amenaza crítica para más de 103,000 organizaciones que confían en n8n para automatización de procesos empresariales. Con puntuación CVSS 9.9, PoCs públicos disponibles y 103,476 instancias expuestas, el potencial de explotación masiva es extremadamente alto.

Los equipos de seguridad deben tratar esta vulnerabilidad n8n CVE-2025-68613 como prioridad P0, implementando actualizaciones de emergencia a versiones 1.120.4, 1.121.1 o 1.122.0+ en las próximas 24-48 horas. Organizaciones que no puedan parchear inmediatamente deben aplicar controles compensatorios estrictos: restricción de permisos, aislamiento de red y monitoreo intensivo.

La rápida revelación y parcheo por parte de los mantenedores de n8n demuestra mejores prácticas de divulgación responsable de vulnerabilidades. Sin embargo, el valor real de estos esfuerzos depende de la velocidad con que las organizaciones apliquen las actualizaciones disponibles. En el panorama actual de amenazas, donde brechas masivas de datos ocurren regularmente, cada hora de demora en parchear la vulnerabilidad n8n CVE-2025-68613 incrementa exponencialmente el riesgo de compromiso.

No esperes a ser víctima. Actualiza ahora.