Febrero de 2026 ha sido catastrófico para la historia de seguridad de n8n. Comenzó con 8 CVEs el 6 de febrero. Luego 11 más el 25 de febrero. Ahora, Ni8mare (CVE-2026-21858) — una vulnerabilidad de ejecución remota de código no autenticada con CVSS 10.0 — lo lleva a más de 20 CVEs, 7 críticos y 4 vectores RCE independientes en un solo mes.
Esto ya no es un problema de parches. Esto es un problema de arquitectura.
Resumen: el colapso de seguridad de febrero
6 de febrero — La primera ola (8 CVEs)
El boletín del 6 de febrero de n8n divulgó 8 vulnerabilidades, incluyendo CVE-2026-25049 (CVSS 9.4) — un bypass del parche de diciembre de 2025 para la RCE original de inyección de expresiones. El bypass demostró que el motor de evaluación de expresiones tiene un defecto de diseño fundamental, no un bug aislado.
25 de febrero — Tres nuevos vectores RCE (11 CVEs)
Tres semanas después, n8n publicó 11 vulnerabilidades adicionales incluyendo 3 nuevos problemas de severidad crítica en subsistemas completamente independientes:
| CVE | Severidad | Superficie de ataque |
|---|---|---|
| CVE-2026-27497 | Crítico (9.4) | Modo de consulta SQL — ejecución de código arbitrario |
| CVE-2026-27577 | Crítico (9.4) | Escape del sandbox de expresiones — comandos del sistema |
| CVE-2026-27495 | Crítico (9.4) | Escape del sandbox del ejecutor de tareas JavaScript |
Los problemas adicionales incluyeron XSS almacenado, bypass de SSO, evaluación de formularios no autenticada, inyección SQL en conectores MySQL/PostgreSQL/MSSQL y falsificación de webhooks.
Ni8mare: el peor de todos
CVE-2026-21858 — CVSS 10.0 — Ejecución remota de código no autenticada
Ni8mare explota la confusión de Content-Type en el manejo de webhooks de n8n para lograr la toma total del servidor. Lo que lo hace cualitativamente diferente de los otros tres vectores RCE:
- Cero credenciales requeridas. Los vectores RCE anteriores (expresiones, SQL, ejecutor de tareas) todos requerían algún nivel de acceso autenticado. Ni8mare no necesita nada — cualquier endpoint webhook expuesto es una superficie de ataque.
- Toma total del servidor. No se limita al escape del sandbox o inyección de consultas. Ejecución remota de código completa en el servidor subyacente.
- ~100,000 instancias expuestas. Esta no es la cifra de 26,512 de escaneos anteriores de Censys — la superficie de ataque de Ni8mare incluye cualquier instancia de n8n con endpoints webhook, expandiendo dramáticamente la exposición.
- 4ta superficie de ataque independiente. Evaluación de expresiones, modo de consulta SQL, ejecutor de tareas JavaScript, y ahora confusión de Content-Type de webhooks. Cuatro subsistemas completamente separados, cuatro caminos completamente separados hacia RCE.
Por qué la confusión de Content-Type es tan peligrosa
Los endpoints webhook son por definición orientados a internet. Están diseñados para recibir solicitudes externas. Cuando el mecanismo que analiza esas solicitudes — el manejador de Content-Type — puede ser confundido para ejecutar código arbitrario, el concepto entero de un “webhook” se convierte en un punto de entrada de ejecución remota de código.
Cada flujo de trabajo de n8n que comienza con un disparador webhook es un objetivo potencial de Ni8mare. Sin autenticación. Sin cadena de explotación. Solo una solicitud malformada.
4 vectores RCE independientes = arquitectura rota
Encontrar un RCE en un producto es un incidente de seguridad serio. Encontrar dos es un patrón. Encontrar tres en un mes es alarmante.
Encontrar cuatro vectores RCE independientes en un solo mes — abarcando cuatro subsistemas separados — es confirmación de que la arquitectura de seguridad está fundamentalmente rota.
| Vector RCE | Subsistema | CVE | Auth requerida |
|---|---|---|---|
| Escape del sandbox de expresiones | Motor de evaluación de expresiones | CVE-2026-27577 | Sí |
| RCE del modo de consulta SQL | Motor de ejecución SQL | CVE-2026-27497 | Sí |
| Escape del ejecutor de tareas JS | Sandbox JavaScript | CVE-2026-27495 | Sí |
| Confusión de Content-Type de webhook | Manejo de webhooks | CVE-2026-21858 | No |
Cada uno de estos representa una superficie de ataque distinta. Parchear uno no protege contra los otros. Un atacante solo necesita encontrar uno — y con Ni8mare, ni siquiera necesita credenciales.
Avisos de agencias nacionales
La severidad de las divulgaciones de febrero de n8n provocó avisos formales de agencias nacionales de ciberseguridad:
- CSA de Singapur (Agencia de Seguridad Cibernética de Singapur) — Emitió aviso para vulnerabilidades de n8n
- CCCS de Canadá (Centro Canadiense de Seguridad Cibernética) — Emitió aviso para vulnerabilidades de n8n
Estas son las mismas agencias que emiten avisos para vulnerabilidades de infraestructura crítica. Cuando los gobiernos nacionales advierten a las organizaciones sobre su plataforma de automatización, la urgencia se extiende más allá del parcheo rutinario.
Por qué parchear no es suficiente
El patrón a lo largo de febrero cuenta una historia definitiva:
- 6 de febrero: 8 CVEs — incluyendo un bypass del parche de diciembre de 2025
- 25 de febrero: 11 CVEs más — 3 nuevos críticos en subsistemas separados
- Ni8mare: CVSS 10.0 — RCE no autenticado vía webhooks, 4to vector independiente
Incluso si parchea a la última versión hoy:
- El parche de diciembre de 2025 fue evitado en febrero. Parche → bypass → parche no es una estrategia de seguridad sostenible.
- Cuatro subsistemas separados tuvieron vulnerabilidades RCE independientes. Esto sugiere problemas sistémicos en cómo n8n aborda la seguridad en su código base.
- Ni8mare no requiere autenticación. Cualquier flujo de trabajo habilitado con webhook era una puerta abierta. Si su instancia estaba expuesta antes del parcheo, el compromiso puede haber ocurrido ya.
- La versión mínima segura es v2.5.2+. Si está ejecutando v2.2.2 o anterior, sigue siendo vulnerable a Ni8mare incluso con los parches para las otras vulnerabilidades.
La ruta de migración
El asistente de importación de n8n de JieGou convierte sus exportaciones JSON de flujos de trabajo de n8n a flujos de trabajo de JieGou automáticamente — y ahora incluye una evaluación de seguridad que identifica nodos webhook vulnerables a Ni8mare:
- Exporte sus flujos de trabajo de n8n (Configuración → Exportar todos los flujos de trabajo)
- Suba el JSON al asistente de importación de JieGou
- Revise la conversión — más de 50 mapeos de tipos de nodos manejados automáticamente, más una evaluación de seguridad que resalta nodos vulnerables (disparadores webhook, nodos de código, nodos SQL, agentes LangChain)
- Despliegue con alojamiento gestionado, cero parches e infraestructura de cumplimiento lista para SOC 2
La evaluación de seguridad escanea su flujo de trabajo buscando nodos mapeados a CVEs conocidos:
- Disparadores webhook → CVE-2026-21858 (Ni8mare) — crítico
- Nodos Code / Function → CVE-2026-27577 (escape del sandbox de expresiones) — alto
- Nodos PostgreSQL / MySQL / MSSQL → CVE-2026-27497 (RCE SQL) — alto
- Nodos LangChain Agent / Chain → CVE-2026-27495 (escape del ejecutor de tareas) — medio
- Disparadores de formulario → CVE-2026-27493 (evaluación de formularios no autenticada) — medio
Resumen actualizado de CVEs
| Métrica | Cantidad |
|---|---|
| Total de CVEs en febrero 2026 | 20+ |
| Severidad crítica (CVSS 9.4–10.0) | 7 |
| Vectores RCE independientes | 4 |
| RCE no autenticado (Ni8mare) | 1 (CVSS 10.0) |
| Avisos de agencias nacionales | 2 (CSA de Singapur, CCCS de Canadá) |
| Instancias expuestas | ~100,000 |
| Versión mínima segura | v2.5.2+ |
Comparación de seguridad
| Dimensión | JieGou | n8n |
|---|---|---|
| CVEs (feb 2026) | 0 | 20+ total, 7 críticos |
| Vectores RCE | N/A | 4 independientes |
| RCE no autenticado | N/A | CVE-2026-21858 Ni8mare |
| Avisos gubernamentales | No necesarios | CSA de Singapur, CCCS de Canadá |
| Instancias expuestas | N/A (nube + VPC) | ~100,000 |
| Suite de pruebas | 11,875 pruebas, 99.18% cobertura | Código abierto; pruebas comunitarias |
| SOC 2 | Técnicamente completo, 17 políticas, auditoría pendiente | No disponible |
| Encriptación en reposo | AES-256-GCM (BYOK) | No incluida (comunidad) |
| RBAC | 6 roles, 20 permisos | Básico (admin / editor) |
| Registro de auditoría | 30 tipos de acciones, inmutable | No incluido (comunidad) |
Comience a migrar
Más de 20 vulnerabilidades. Cuatro superficies de ataque de ejecución remota de código independientes. Una que no requiere autenticación. Agencias nacionales de ciberseguridad emitiendo avisos formales.
Si está ejecutando n8n — especialmente auto-alojado — el perfil de riesgo ha cambiado fundamentalmente con Ni8mare.
- Importe sus flujos de trabajo de n8n — importación automatizada con más de 50 mapeos de nodos y evaluación de seguridad
- Lea la guía de migración — tutorial técnico paso a paso
- Compare JieGou vs. n8n — comparación completa de funcionalidades y seguridad