Un grave bug de sécurité met en danger des dizaines de milliers d’instances n8n exposées sur Internet. Notée 9,9 sur 10, la vulnérabilité CVE‑2025‑68613 permet à un utilisateur d’exécuter du code arbitraire sur le serveur, bien au-delà de ce que la plateforme est censée autoriser.

Rapide point de contexte avant d’entrer dans le vif du sujet : n8n est un outil d’automatisation qui permet de connecter entre eux des services en ligne et des bases de données, sans avoir à écrire beaucoup de code — voire aucun.

Pratique, il est largement utilisé par des entreprises et des développeurs pour créer des « workflows », c’est‑à‑dire des processus qui enchaînent des tâches, par exemple récupérer des données d’une API puis les envoyer vers un outil interne.

Mais voilà, le National Institute of Standards and Technology américain (NIST) a publié le 19 décembre 2025 une alerte de vulnérabilité critique, notée 9,9 sur 10 sur l’échelle CVSS. La faille, référencée CVE‑2025‑68613, touche le mécanisme qui évalue certaines formules dans ces fameux workflows.

Concrètement, un utilisateur authentifié peut, dans certains cas, détourner ce système d’évaluation d’expressions pour faire exécuter du code directement sur le serveur n8n, et ainsi largement dépasser ce que la plateforme est censée permettre.

bitdefender-logo
Bitdefender new Box
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Je protège ma vie privée simplement
La France fait partie des pays les plus exposés à cette vulnérabilité // Source : Censys
La France fait partie des pays les plus exposés à cette vulnérabilité. // Source : Censys

Ce que permet concrètement la faille​

La vulnérabilité vient du fait que les expressions permises par n8n ne sont pas suffisamment isolées de l’environnement d’exécution Node.js. En d’autres termes, un attaquant peut écrire une expression spécialement construite pour sortir du cadre normalement prévu par l’outil d’automatisation et accéder à des fonctionnalités bien plus centrales, jusqu’à l’API système.

Dans la pratique, un utilisateur qui a seulement le droit de créer ou modifier des workflows peut injecter une expression malveillante qui lancera des commandes système et obtiendra ainsi une exécution de code à distance avec les droits du processus n8n.

Une fois ce code exécuté, l’attaquant pourra lire et exfiltrer des données sensibles stockées dans n8n (tokens d’API, mots de passe), modifier ou créer des workflows malveillants pour mettre en place une exfiltration continue de données, et lancer toutes sortes d’opérations système comme scanner le réseau interne, déployer une backdoor ou chiffrer des fichiers.

Certes, l’exploitation de la faille suppose d’être déjà authentifié sur n8n, mais il n’est pas nécessaire d’être administrateur : tout compte capable de créer ou d’éditer des workflows suffit.

Sur une instance n8n exposée sur Internet, qu’elle soit auto‑hébergée ou mal isolée, un compte compromis ou une simple fuite de token (compte de service, clé d’API) peut donc suffire à prendre le contrôle du serveur.

Quelles versions sont concernées ?

La vulnérabilité touche un grand nombre de versions récentes de n8n. Sont concernées toutes les versions à partir de la 0.211.0 et jusqu’aux versions juste avant les correctifs 1.120.4, 1.121.1 et 1.122.0, qui corrigent le problème en durcissant l’évaluation des expressions.

Des analyses d’exposition publiées par la société de cybersécurité Censys estiment que plus de 100 000 instances n8n seraient accessibles directement sur Internet, principalement aux États‑Unis, en Allemagne et en France, ce qui inclut aussi bien de petites structures que des organisations plus importantes.​

Les utilisateurs sont donc invités à vérifier rapidement la version qu’ils utilisent. Si l’instance se trouve dans la plage vulnérable, il est recommandé de mettre à jour vers une version incluant le correctif. Tant que la mise à jour n’est pas effectuée, il est prudent de restreindre fortement les droits des comptes autorisés à créer ou modifier des workflows, afin de limiter les possibilités d’exploitation.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !