La plataforma n8n es una herramienta muy popular en el mundo de la automatización, especialmente dentro del ecosistema de IA. Se trata de una plataforma open-source de automatización de workflows que permite conectar distintas aplicaciones y servicios a través de conectores prediseñados y una interfaz visual basada en nodos, para automatizar tareas sin necesidad de escribir código. Su uso se ha extendido en entornos de IA para automatizar ingesta de datos y construir agentes de IA, alcanzando más de 100 millones de pulls en Docker Hub y más de 50.000 descargas semanales en npm.

En este contexto, investigadores alertaron sobre Ni8mare, una vulnerabilidad de severidad máxima que afecta a casi 60.000 instancias de n8n expuestas online y sin parchear. La falla fue identificada como CVE-2026-21858 y, según el reporte, proviene de una debilidad en la validación de inputs, que permite a atacantes remotos no autenticados tomar control de instancias locales tras obtener acceso a archivos en el servidor.

El problema es especialmente delicado porque n8n funciona como hub central de automatización, almacenando frecuentemente API keys, tokens OAuth, credenciales de bases de datos, accesos a almacenamiento en la nube, secretos de CI/CD y datos de negocio. Esto lo convierte en un objetivo atractivo para actores maliciosos. El equipo de n8n indicó que una workflow vulnerable puede otorgar acceso a un atacante remoto no autenticado, con posible exposición de información y compromiso adicional, según la configuración del despliegue y el uso que tenga el workflow.

La vulnerabilidad fue descubierta por investigadores de Cyera, quienes la reportaron a n8n a principios de noviembre. Explicaron que puede usarse para exponer secretos, forjar cookies de sesión para eludir autenticación, inyectar archivos sensibles en workflows o incluso ejecutar comandos arbitrarios.

Durante el fin de semana pasado, el grupo de monitoreo Shadowserver detectó 105.753 instancias sin parchear expuestas online, y 59.558 aún expuestas el domingo, con más de 28.000 IPs en Estados Unidos, más de 21.000 en Europa y casi 3.000 en Sudamérica. Este volumen elevó las alertas debido al riesgo de explotación remota sin autenticación.

Para mitigar ataques, se recomienda a administradores actualizar a n8n versión 1.121.0 o superior lo antes posible. Quienes no puedan actualizar de inmediato pueden bloquear o restringir endpoints públicos de webhooks y formularios. Además, el equipo de n8n puso a disposición un template de workflow para que los administradores puedan escanear sus instancias en busca de aquellos potencialmente vulnerables.