En febrero de 2026, n8n publicó dos boletines de seguridad que divulgaban un total combinado de 19 vulnerabilidades — incluyendo 6 críticas (CVSS 9.4+) y 3 superficies de ataque de ejecución remota de código independientes. Agencias nacionales de ciberseguridad — la CSA de Singapur y el CCCS de Canadá — han emitido avisos formales.
Esto no es un problema de parches. Es un problema estructural de arquitectura en múltiples subsistemas de n8n.
6 de febrero: la primera ola — 8 CVEs
El mes comenzó con el boletín del 6 de febrero de n8n que divulgaba 8 vulnerabilidades, incluyendo la ya conocida RCE de evaluación de expresiones y un nuevo desarrollo crítico: CVE-2026-25049 (CVSS 9.4), que evitaba la corrección de diciembre de 2025 para la RCE original de inyección de expresiones con CVSS 10.0.
El bypass demostró que este no era un bug aislado — era evidencia de un defecto de diseño fundamental en el motor de evaluación de expresiones de n8n. Las correcciones puntuales abordan vectores de ataque específicos pero dejan la arquitectura subyacente vulnerable a nuevas técnicas de explotación.
25 de febrero: 11 CVEs más — 3 críticos
Tres semanas después, n8n publicó un segundo boletín con 11 vulnerabilidades adicionales, incluyendo 3 nuevos problemas de severidad crítica:
| CVE | Severidad | Descripción |
|---|---|---|
| CVE-2026-27497 | Crítico (9.4) | El modo de consulta SQL permite ejecución de código arbitrario en el servidor n8n |
| CVE-2026-27577 | Crítico (9.4) | Escape del sandbox de expresiones — comandos del sistema vía parámetros manipulados |
| CVE-2026-27495 | Crítico (9.4) | Escape del sandbox del ejecutor de tareas JavaScript — ejecución de código arbitrario |
| CVE-2026-27578 | Alto | XSS almacenado |
| CVE-2026-27493 | Alto | Evaluación de expresiones no autenticada vía Form Node |
| + 6 más | Alto/Medio | Bypass de auth de chat, bypass de SSO, inyección SQL (MySQL/PostgreSQL/MSSQL), falsificación de webhook |
Tres vectores RCE independientes en un mes
El boletín del 25 de febrero es particularmente alarmante porque revela tres caminos completamente independientes hacia la ejecución remota de código:
-
Evaluación de expresiones — El sandbox diseñado para evaluar expresiones de usuario de forma segura puede ser escapado, permitiendo la ejecución arbitraria de comandos del sistema. Este es el mismo subsistema que produjo la RCE de diciembre de 2025 y el bypass de febrero — ahora con una nueva técnica de escape.
-
Modo de consulta SQL — El motor de ejecución SQL permite la ejecución de código arbitrario en el servidor n8n. Este es un subsistema completamente separado de la evaluación de expresiones.
-
Ejecutor de tareas JavaScript — El entorno de ejecución JavaScript sandboxeado puede ser escapado, permitiendo la ejecución de código arbitrario. Nuevamente, un subsistema completamente separado.
Cada uno de estos representa una superficie de ataque distinta en una parte diferente de la arquitectura de n8n. Parchear uno no protege contra los otros. Un atacante solo necesita encontrar uno.
Agencias nacionales de ciberseguridad responden
La severidad de las divulgaciones de febrero de n8n provocó avisos formales de agencias nacionales de ciberseguridad:
- CSA de Singapur (Agencia de Seguridad Cibernética de Singapur) — Emitió aviso para vulnerabilidades de n8n
- CCCS de Canadá (Centro Canadiense de Seguridad Cibernética) — Emitió aviso para vulnerabilidades de n8n
Cuando los gobiernos nacionales emiten advertencias sobre su plataforma de automatización, la urgencia es clara. Estas son las mismas agencias que emiten avisos para vulnerabilidades de infraestructura crítica.
Por qué parchear no es suficiente
El patrón a lo largo de febrero cuenta una historia clara:
- 6 de febrero: 8 CVEs incluyendo un bypass del parche de diciembre de 2025
- 25 de febrero: 11 CVEs más en tres subsistemas separados
- Combinado: 19 CVEs, 6 críticos, 3 vectores RCE independientes
Este no es un caso donde aplicar el último parche resuelve el riesgo. Las vulnerabilidades abarcan:
- Motor de evaluación de expresiones
- Motor de ejecución de consultas SQL
- Sandbox del ejecutor de tareas JavaScript
- Sistemas de autenticación y SSO
- Endpoints de evaluación de formularios
- Conectores de base de datos (MySQL, PostgreSQL, MSSQL)
- Manejo de webhooks
La amplitud sugiere problemas de seguridad a nivel de arquitectura sistémica, no bugs aislados.
Resumen de CVEs de febrero 2026
| Métrica | Cantidad |
|---|---|
| Total de CVEs en febrero 2026 | 19 |
| Severidad crítica (CVSS 9.4+) | 6 |
| Vectores RCE independientes | 3 |
| Avisos de agencias nacionales | 2 (CSA de Singapur, CCCS de Canadá) |
| Rondas de parches en febrero | 2 (6 feb + 25 feb) |
| Instancias expuestas (Censys) | 26,512 |
Parches disponibles: n8n 2.10.1, 2.9.3, 1.123.22. Todas las instancias auto-alojadas deben actualizar inmediatamente.
La ruta de migración
El asistente de importación de n8n de JieGou convierte sus exportaciones JSON de flujos de trabajo de n8n a flujos de trabajo de JieGou automáticamente:
- Exporte sus flujos de trabajo de n8n (Configuración → Exportar todos los flujos de trabajo)
- Suba el JSON al asistente de importación de JieGou
- Revise la conversión — más de 47 mapeos de tipos de nodos manejados automáticamente
- Despliegue con alojamiento gestionado, cero parches e infraestructura de cumplimiento lista para SOC 2
La herramienta de importación mapea nodos de n8n a pasos de JieGou:
Set / Code / Function→ Paso LLMIF / Switch / Filter→ Paso de condiciónSplitInBatches→ Paso de bucleHTTP Request→ LLM + Herramienta MCPSlack / Gmail / GitHub→ LLM + Servidor MCPWebhook→ Disparador Webhook
Comparación de seguridad
| Dimensión | JieGou | n8n |
|---|---|---|
| CVEs (feb 2026) | 0 | 19 total, 6 críticos |
| Vectores RCE | N/A | 3 independientes |
| Avisos gubernamentales | No necesarios | CSA de Singapur, CCCS de Canadá |
| Instancias expuestas | N/A (nube + VPC) | 26,512 |
| SOC 2 | Técnicamente completo, 15 políticas, auditoría pendiente | No disponible |
| Encriptación en reposo | AES-256-GCM (BYOK) | No incluida (comunidad) |
| RBAC | 6 roles, 20 permisos | Básico (admin / editor) |
| Registro de auditoría | 30 tipos de acciones, inmutable | No incluido (comunidad) |
| GDPR | Endpoints de exportación + eliminación de datos | No disponible |
Comience a migrar
19 vulnerabilidades en un mes. Tres superficies de ataque de ejecución remota de código independientes. Agencias nacionales de ciberseguridad emitiendo avisos formales.
Si está ejecutando n8n — especialmente auto-alojado — el perfil de riesgo ha cambiado fundamentalmente.
- Importe sus flujos de trabajo de n8n — importación automatizada con más de 47 mapeos de nodos
- Lea la guía de migración — tutorial técnico paso a paso
- Compare JieGou vs. n8n — comparación completa de funcionalidades y seguridad