n8n RCE bajo explotación activa — CISA añade CVE-2025-68613 al catálogo KEV con 40,000 instancias expuestas

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) añadió el miércoles 11 de marzo la vulnerabilidad CVE-2025-68613 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), confirmando que actores maliciosos están aprovechando activamente este fallo en ataques reales.

La vulnerabilidad afecta a n8n, una plataforma de código abierto para automatización de flujos de trabajo que registra más de 50,000 descargas semanales en npm y supera los 100 millones de pulls en Docker Hub. Bajo la Directiva Operativa Vinculante 22-01, las agencias federales tienen hasta el 25 de marzo para aplicar las correcciones correspondientes.

El fallo, clasificado como una vulnerabilidad de ejecución remota de código (RCE), radica en el control inadecuado de recursos de código gestionados dinámicamente dentro del sistema de evaluación de expresiones de workflow de n8n. Según el registro oficial en CVE-2025-68613, un atacante autenticado podría ejecutar código arbitrario con los mismos privilegios del proceso n8n, lo que potencialmente conduce a la compromisión total de la instancia afectada, acceso no autorizado a datos sensibles, modificación de flujos de trabajo y ejecución de comandos a nivel de sistema. El equipo de n8n publicó los parches en diciembre de 2025 con las versiones 1.120.4, 1.121.1 y 1.122.0.

n8n se ha convertido en una pieza infraestructural crítica para equipos técnicos que combinan automatización sin código con la flexibilidad de código personalizado. La plataforma soporta más de 400 integraciones y ofrece características nativas de inteligencia artificial, lo que la hace especialmente atractiva para empresas que procesan grandes volúmenes de datos. Sin embargo, esta misma versatilidad la convierte en un objetivo de alto valor: las instancias de n8n frecuentemente almacenan claves API, credenciales de bases de datos, tokens OAuth, credenciales de almacenamiento en la nube y secretos de pipelines CI/CD. Un atacante que comprometa un servidor n8n obtendría acceso inmediato a todo este material sensible, ampliando rápidamente el radio de compromiso hacia otros sistemas conectados.

La magnitud del problema queda evidenciada por los datos de Shadowserver, que rastrea más de 40,000 instancias sin parchear expuestas directamente a internet. De estas, aproximadamente 18,000 se encuentran en Norteamérica y más de 14,000 en Europa, mientras que el resto se distribuye globalmente. Censys, otra firma de ciberseguridad, contabilizó 103,476 instancias potencialmente vulnerables a finales de diciembre de 2025, con concentraciones significativas en Estados Unidos, Alemania y Francia. Estas cifras sugieren que la superficie de ataque sigue siendo considerable pese a que los parches llevan varios meses disponibles.

CISA no ha revelado detalles específicos sobre los ataques observados, los actores involucrados ni indicadores de compromiso, práctica habitual cuando la investigación sigue en curso. Sin embargo, investigadores de seguridad han advertido que CVE-2025-68613 podría combinarse con otras vulnerabilidades recientemente descubiertas en n8n, incluyendo una bautizada como "Ni8mare" (CVE-2026-21858, CVSS 10.0) y varias adicionalmente críticas como CVE-2026-27493 (CVSS 9.5). Esta cadena de fallos en el mismo subsistema sugiere que los adversarios continuarán sondeando la plataforma en busca de vectores adicionales.

Para organizaciones que no puedan actualizar de inmediato, CISA recomienda restringir los permisos de creación y edición de workflows únicamente a usuarios de total confianza, limitar los privilegios del sistema operativo y restringir el acceso de red como medidas de mitigación temporal. No obstante, la agencia enfatiza que estas acciones solo reducen el riesgo y no eliminan la vulnerabilidad. El catálogo KEV, disponible en el sitio oficial de CISA, constituye una referencia obligada para equipos de respuesta a incidentes que buscan priorizar sus esfuerzos de remediación frente al panorama de amenazas actual.