Hacker uses PC to target vulnerable unpatched connections, seeking to compromise digital devices and steal valuable sensitive data. Rogue programmer finds exploits for system vulnerabilities, camera B

Six autres vulnérabilités découvertes dans la plateforme d’automatisation n8n

Lucas Morel

Quatre des trous, qui permettent l’exécution de code à distance et l’injection de commandes, sont considérés comme critiques.

Six autres vulnérabilités ont été découvertes dans la plateforme de workflow n8n utilisée pour créer des agents basés sur LLM afin de connecter les processus métier. Quatre des six sont classés comme critiques, avec des scores de gravité CVSS de 9,4.

« Ces vulnérabilités couvrent plusieurs classes d’attaques, de l’exécution de code à distance et de l’injection de commandes à l’accès arbitraire aux fichiers et aux scripts intersites, toutes ciblant une plate-forme fréquemment déployée avec accès aux secrets, aux informations d’identification, aux API internes et à la logique critique pour l’entreprise », a noté Amit Genkin, chercheur en sécurité chez Upwind, fournisseur de sécurité cloud basé en Israël, qui a blogué sur les vulnérabilités cette semaine.

Johannes Ullrich, doyen de la recherche à l’Institut SANS, a déclaré que les vulnérabilités affectent la façon dont n8n met en sandbox les processus créés par différents utilisateurs et comment l’hôte est protégé des utilisateurs ayant accès à n8n.

« C’est moins un problème pour un système mono-utilisateur », a-t-il déclaré dans un e-mail, « mais n8n est souvent installé dans des environnements partagés. Compte tenu du nombre et de la gravité des vulnérabilités, il est juste de supposer qu’il ne s’agit que de la « pointe de l’iceberg ». À ce stade, les déploiements n8n multi-utilisateurs doivent être traités avec prudence. « 

Cette découverte est la deuxième révélation majeure de problèmes sur la plateforme n8n cette année. Il y a quatre semaines, des chercheurs de Cyera ont publié les détails d’une vulnérabilité critique, après qu’elle ait été corrigée, qui permettrait à des attaquants non authentifiés de prendre entièrement le contrôle des déploiements n8n.

Le mois dernier également, il a été appris que des acteurs malveillants ciblaient n8n en implantant des packages malveillants dans le registre npm qui prétendent être des modules complémentaires légitimes de n8n.

Les vulnérabilités sont :

  • CVE-2026-21893, un trou d’injection de commandes dans l’édition communautaire de n8n. Un utilisateur non authentifié disposant d’une autorisation d’administration pourrait exécuter des commandes système arbitraires sur l’hôte n8n.
    « Le risque est amplifié par la confiance généralement placée dans les extensions communautaires », a déclaré Upwinds dans son commentaire, « ce qui en fait une voie d’attaque à fort impact qui relie directement les fonctionnalités au niveau de l’application avec l’exécution au niveau de l’hôte.
    Il présente un score de vulnérabilité CVSS de 9,4 ;
  • CVE-2026-25049, qui porte un score CVSS de 9,4. Un utilisateur authentifié ayant l’autorisation de créer ou de modifier des flux de travail pourrait abuser d’expressions contrefaites dans les paramètres de flux de travail pour déclencher l’exécution involontaire de commandes système sur l’hôte exécutant n8n.
    « Étant donné que les expressions de flux de travail constituent une fonctionnalité essentielle et couramment utilisée dans n8n, cette faille réduit considérablement les obstacles à l’exploitation et permet une compromission totale de l’hôte sous-jacent », a commenté Upwind sur son blog ;
  • CVE-2026-25052, qui présente un score CVSS de 9,4. Une vulnérabilité dans les contrôles d’accès aux fichiers permet aux utilisateurs authentifiés et autorisés de créer ou de modifier des flux de travail pour lire des fichiers sensibles à partir du système hôte n8n. Cela peut être exploité pour obtenir des données de configuration critiques et des informations d’identification d’utilisateur, conduisant à une prise de contrôle complète du compte de n’importe quel utilisateur sur l’instance ;
  • CVE-2026-25053, qui présente un score CVSS de 9,4. Il s’agit d’une vulnérabilité dans le nœud Git qui permet l’exécution de commandes système ou un accès arbitraire à des fichiers ;
  • CVE-2026-25051, une vulnérabilité de script intersite dans la gestion des réponses webhook et des points de terminaison HTTP associés. Il porte un score CVSS de 8,5.
    Dans certaines conditions, la protection sandbox n8n Content Security Policy (CSP) destinée à isoler les réponses HTML peut ne pas être appliquée correctement. Un utilisateur authentifié autorisé à créer ou à modifier des flux de travail pourrait en abuser pour exécuter des scripts malveillants avec des privilèges de même origine lorsque d’autres utilisateurs interagissent avec le flux de travail spécialement conçu. Cela pourrait conduire à un détournement de session et à un piratage de compte.
  • CVE-2025-61917, qui présente un score CVSS de 7,7. Il s’agit d’une vulnérabilité de divulgation d’informations causée par une allocation de tampon non sécurisée dans les exécuteurs de tâches n8n.

Lors d’une entrevue, Moshe Hassan, vice-président à la recherche et à l’innovation d’Upwind, a estimé que 83 % des clients de son entreprise utilisent la plateforme n8n. Mais, a-t-il ajouté, moins de 25 % l’utilisent en production et/ou peuvent l’exposer sur le Web. Les autres, a-t-il dit, sont en train de le tester.

Cependant, il a déclaré que ceux qui évaluent la plate-forme pourraient courir un risque si les utilisateurs saisissaient des jetons d’identité pour des plates-formes cloud telles qu’AWS et autres dans le cadre de leurs tests. Et le fait qu’un grand nombre de développeurs testent les dernières applications liées à l’IA rend difficile pour les professionnels de la sécurité de contenir l’ampleur des vulnérabilités potentielles dans les environnements informatiques, a-t-il ajouté.

VulnérabilitésSécuritéOutils de développementDéveloppement de logiciels

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

shutterstock 434035804 water flowing from a silver outdoor tap amid green fields and green trees
Les services des eaux renforcent la cybersécurité grâce à la coopération
Attaques DDoS : Schlag gegen internationale Cyberkriminelle
Attaques DDoS : Schlag gegen internationale Cyberkriminelle
3D Computer Graphics: Data Center Female Chief Technology Officer Using Laptop Standing In Warehouse, Activates Servers, Information Digitalization Starts. SAAS, Cloud Computing, Online Service
Ce périphérique KVM bon marché pourrait exposer votre réseau à une compromission à distance