S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

La plateforme d’automatisation n8n à nouveau victime de failles critiques

Les blagues les plus courtes...

La plateforme d’automatisation n8n à nouveau victime de failles critiques

Illustration : Flock

La plateforme d’automatisation open source n8n est victime de deux failles critiques affichant la note de sévérité maximale (10/10). Il est recommandé de mettre à jour au plus vite les installations.

n8n est une plateforme d’automatisation des workflows. Elle permet de connecter des services (API, bases de données, SaaS, scripts…) à des actions pour qu’elles se déclenchent quand les conditions sont réunies. La plateforme, open source, a largement gagné en popularité au point d’en faire l’un des produits les plus suivis, notamment parce qu’elle peut s’interfacer avec à peu près n’importe quoi, via des connecteurs, dont des systèmes IA.

Deux failles critiques de sévérité maximale

Elle est cependant touchée par deux failles de sécurité dont la criticité est maximale, avec un score CVSS de 10 sur 10, soit le maximum. La première, estampillée CVE-2026-21877, est de type RCE (Remote Code Execution) et peut donc permettre l’exécution d’un code arbitraire à distance. « Dans certaines conditions, un utilisateur authentifié peut être capable de faire exécuter un code non fiable par le service n8n. Cela pourrait entraîner une compromission complète de l’instance concernée. Les instances auto-hébergées et n8n Cloud sont toutes deux concernées », indique l’équipe de développement dans une note sur GitHub.

Dans ce contexte, un acteur malveillant peut, en exploitant la faille, introduire des instructions dans la logique d’exécution des workflows et de gestion des identifiants. Il peut ajouter ou supprimer des workflows, exfiltrer des données sensibles, déployer du code malveillant et aboutir à une compromission totale du serveur.

La deuxième faille, CVE-2026-21858, est « pire », bien que disposant de la même note. « Une vulnérabilité dans n8n permet à un attaquant d’accéder aux fichiers du serveur sous-jacent en exécutant certains flux de travail basés sur des formulaires. Un flux de travail vulnérable pourrait accorder l’accès à un attaquant distant non authentifié. Cela pourrait entraîner une exposition d’informations sensibles stockées sur le système et permettre de nouvelles compromissions selon la configuration du déploiement et l’utilisation du flux de travail », explique l’équipe dans une autre note. La faille est corrigée

Quatre fois en deux mois

La première faille a été corrigée dans la version 1.121.3 et la seconde dans la 1.121.0, toutes deux sorties en novembre. D’ailleurs, les failles aussi ont été découvertes en novembre. Elles n’ont été révélées que très récemment, le temps que les mises à jour se fassent sur un maximum de configurations. Dans les deux cas, la consigne est bien sûr d’installer la dernière version dès que possible, si ce n’est pas encore fait.

Problème supplémentaire pour n8n, c’est la quatrième fois en deux mois qu’une faille critique est découverte. Et pas des moindres : les vulnérabilités CVE-2025-68613 et CVE-2025-68668, découvertes respectivement fin décembre et début janvier, ont toutes deux un score CVSS de 9,9, soit pratiquement le maximum.

Commentaires (23)

votre avatar
Ce qui va être intéressant est de voir si la communauté va prendre le sujet en main : des nouveaux bénévoles pour aider à nettoyer le code ou l'architecture du projet.

C'est là que l'on va voir la robustesse du libre ou au contraire que la notion de communauté est à sens unique: quelques bénévoles se font exploiter sans retour véritable.
votre avatar
Je suis souvent un peu gêné par cet argument de "sens unique". J'utilise de nombreux outils libres, sans y contribuer. Mais en parallèle j'en développe un où je fais 90% du travail.
Est-ce que ma situation est commune, ou exceptionnelle ?
votre avatar
Je pense que c'est plutôt commun pour les contributeurs de l'Open Source.
Parmi la multitude d'outils et de services Open Source que l'on peut utiliser au quotidien, nous ne pouvons contribuer qu'à une petite partie, généralement celle sur laquelle nous avons le plus de connaissances ou d'aisance à contribuer. Et peut-être dans ton cas, le plus gros besoin, ce qui amène à développer son propre outil et le partager.

Personnellement, je développe un blocker de publicités et trackers pour Android (https://github.com/AdAway/AdAway) mais je n'ai que peu de temps pour contribuer à Android via l'AOSP ou Android Studio via IntelliJ IDEA qui sont tous les deux Open Source (même s'il m'est arrivé d'y participer).
votre avatar
Toute ma famille utilise AdAway donc je te remercie chaleureusement pour ce travail
votre avatar
Bonjour et merci si c'est utile.
A quel niveau se situe adaway par rapport au navigateur Brave qui bloque déjà tout sur Android et fait ça très bien ?
Brave est basé sur une liste de filtres existants.
votre avatar
L'intérêt de AdAway est de filtrer au niveau système donc cela fonctionne aussi dans les webview des apps.
votre avatar
Merci.
Page https://adaway.org/
Lien Disable Chrome’s Data Compression Proxy > Erreur 404
Si ça peut aider.
votre avatar
@stephane.p

On peut en effet élargir le sens du terme à ceux qui font du business sur les projets de ce type et ne participent à aucun projet en retour. C'est comme les leecher en P2P.

La participation peut revêtir pas mal d'aspects: rien que la remontée de bug est utile (à partir du moment ou on ne met pas la pression sur l'équipe de dev).
votre avatar
N8n est fait code, pas opensource
votre avatar
Je comprends ton point de vue. Mais là, il y a une entreprise derrière, ce n'est pas une poignée de bénévoles. n8n commercialise une offre SaaS pour son service.
votre avatar
C'est un outil obligatoirement en accès public sans filtrage côté réseau/VPN/autre ?
votre avatar
Non il n'est pas nécessaire qu'il soit exposé
C'est surtout utile de l'exposer si tu déclenches par exemple des Workflow par des WebHooks appelés par des clients externes à ton réseau = tu peux construire des API assez sexy en utilisant toute la puissance de n8n
votre avatar
C'est surtout utile de l'exposer si tu déclenches par exemple des Workflow par des WebHooks appelés par des clients externes à ton réseau = tu peux construire des API assez sexy en utilisant toute la puissance de n8n
Plutôt que de l'exposer en direct, mieux vaut passer par un API Manager pour contrôler qui y a accès.
votre avatar
C'est la meilleure approche effectivement, avoir entre internet et les serveurs API / WH, un proxy API (ou API Manager)
votre avatar
L'outil expose forcément un point d'accès et un port, c'est une interface Web.

Donc son exposition Internet dépend de comment le serveur où il est déployé est exposé.
votre avatar
10/10 comme à l'école des fans !
votre avatar
Tu veux vider les truites ?
votre avatar
Toujours les meilleures refs chez PCInpact 🧡
votre avatar
Il faut voir le rythme infernale des sorties des versions stables.
C'est peut-être trop rapide :(
votre avatar
À ce point là ?

J'utilise pas N8N, j'ai voulu tester pour faire de l'agent IA et j'ai eu la flemme parce que OpenWeb UI fait déjà bien le café.

Et, justement, OpenWeb UI en terme de releasite aiguë, ils en tiennent une bonne avec parfois une chaque jour :mdr:
votre avatar
J'utilise pas j'héberge uniquement.

J'ai mis à jour qq clients début de semaine en 2.2.3... La on est en 2.2.5 :D
github.com GitHub

Je pense que je vais dev une API pour leurs donner la main car c'est un peu chiant.
votre avatar
Ouais c'est comme OpenWeb UI, ça tire tous les 4 matins.
votre avatar
Après, les gens à jour sur la branche 2.x n'ont pas eu de problème, les vulnérabilités en question ne concernait que l'ancienne branche 1.x