Vulnérabilité CVE-2026-25049 n8n
Une faille de sécurité récemment découverte dans la plateforme d'automatisation des flux de travail n8n permet l'exécution de commandes système arbitraires sous certaines conditions. Cette faille, référencée CVE-2026-25049, présente un score CVSS de 9,4, témoignant de sa gravité critique. Si elle est exploitée avec succès, elle permet à un attaquant d'exécuter des commandes système sur le serveur hébergeant n8n.
Table des matières
Contournement d’une vulnérabilité précédemment corrigée
La vulnérabilité CVE-2026-25049 résulte d'une assainissement insuffisant qui contourne les protections mises en place pour corriger la vulnérabilité CVE-2025-68613 (CVSS 9.9), une vulnérabilité critique corrigée en décembre 2025. Des analyses ultérieures ont montré que cette nouvelle vulnérabilité (CVE) constitue en réalité un contournement du correctif initial plutôt qu'un problème totalement distinct. Les chercheurs ont démontré que ces deux failles permettent aux attaquants de s'échapper du bac à sable d'expressions de n8n et de contourner les contrôles de sécurité existants. Suite à la première divulgation, d'autres faiblesses dans l'évaluation des expressions ont également été identifiées et corrigées.
Prérequis de l’attaque et mécanismes d’exploitation
Tout utilisateur authentifié disposant des autorisations nécessaires pour créer ou modifier des workflows peut exploiter cette vulnérabilité. En injectant des expressions spécialement conçues dans les paramètres d'un workflow, il devient possible de déclencher l'exécution non intentionnelle de commandes système. Un scénario particulièrement dangereux consiste à créer un workflow exposant un webhook accessible publiquement sans authentification. En intégrant une simple ligne de JavaScript via une syntaxe de déstructuration, des attaquants peuvent amener le workflow à exécuter des commandes système. Une fois ce workflow activé, n'importe quel tiers peut déclencher le webhook et exécuter des commandes à distance.
La gravité de la situation s'aggrave encore lorsqu'elle est combinée à la fonctionnalité de webhook de n8n, qui permet d'exposer publiquement des flux de travail malveillants. Dans ce cas, l'exploitation ne requiert pas de privilèges élevés au-delà de la simple création d'un flux de travail, ce qui souligne le risque résumé par les chercheurs comme suit : si la création de flux de travail est autorisée, la compromission totale du serveur est possible.
Cause première : Lacunes en matière d’application des types et abus d’exécution
Cette vulnérabilité provient de failles dans les mécanismes de validation de n8n et d'une incompatibilité fondamentale entre le système de types de TypeScript à la compilation et le comportement de JavaScript à l'exécution. Si TypeScript impose des contraintes de type lors de la compilation, il ne peut les garantir pour les valeurs manipulées par un attaquant et introduites à l'exécution. En fournissant des valeurs autres que des chaînes de caractères, comme des objets ou des tableaux, les attaquants peuvent contourner la logique de validation qui suppose des entrées exclusivement de type chaîne, neutralisant ainsi des contrôles de sécurité essentiels.
Impact potentiel sur les systèmes et les données
Une exploitation réussie de cette vulnérabilité peut compromettre totalement le serveur. Les attaquants pourraient dérober des identifiants, exfiltrer des données sensibles, accéder au système de fichiers et aux services internes, se connecter aux environnements cloud et détourner les flux de travail d'intelligence artificielle. La possibilité d'installer des portes dérobées persistantes accroît encore le risque d'un accès clandestin et durable.
Versions concernées et recommandations d’atténuation
Cette vulnérabilité affecte les versions de n8n antérieures aux versions corrigées et a été découverte grâce à la contribution de dix chercheurs en sécurité indépendants. Les versions suivantes sont concernées, ainsi que les mesures d'atténuation provisoires recommandées lorsque l'application immédiate du correctif n'est pas possible :
Versions concernées : versions n8n antérieures à 1.123.17 et 2.5.2, pour lesquelles des correctifs ont été publiés.
Mesures d'atténuation recommandées : limiter la création et la modification des flux de travail aux utilisateurs entièrement dignes de confiance et déployer n8n dans un environnement renforcé avec des privilèges système d'exploitation restreints et un accès réseau limité.
Ce problème souligne la nécessité de stratégies de validation multicouches. Les garanties à la compilation doivent être complétées par des contrôles stricts à l'exécution, notamment lors du traitement d'entrées non fiables. Les revues de code doivent privilégier les routines de nettoyage et éviter les suppositions sur les types d'entrée qui ne sont pas vérifiées à l'exécution.
Vulnérabilités supplémentaires de haute gravité n8n
En plus de CVE-2026-25049, n8n a publié des avis concernant quatre failles de sécurité supplémentaires, dont deux sont considérées comme critiques :
CVE-2026-25053 (CVSS 9.4) : Injection de commandes du système d'exploitation dans le nœud Git, permettant aux utilisateurs authentifiés disposant d'autorisations de flux de travail d'exécuter des commandes ou de lire des fichiers arbitraires ; corrigé dans les versions 2.5.0 et 1.123.10.
CVE-2026-25054 (CVSS 8.5) : Vulnérabilité de script intersite stockée dans un composant de rendu Markdown, permettant l'exécution de scripts avec des privilèges de même origine et une prise de contrôle potentielle du compte ; corrigée dans les versions 2.2.1 et 1.123.9.
CVE-2026-25055 (CVSS 7.1) : Problème de traversée de chemin dans le nœud SSH pouvant entraîner des écritures de fichiers dans des emplacements non prévus et une possible exécution de code à distance sur les systèmes cibles ; corrigé dans les versions 2.4.0 et 1.123.12.
CVE-2026-25056 (CVSS 9.4) : Vulnérabilité d'écriture de fichier arbitraire dans le mode de requête SQL du nœud Merge, pouvant potentiellement entraîner l'exécution de code à distance ; corrigée dans les versions 2.4.0 et 1.118.0.
Mise à jour urgente pour réduire les risques
Compte tenu de l'ampleur et de la gravité des vulnérabilités identifiées, la mise à jour des déploiements n8n vers les dernières versions disponibles est fortement recommandée. L'application rapide des correctifs demeure la défense la plus efficace contre l'exploitation et les compromissions qui en découlent.
