Origine : bjCSIRT
Numéro : 2026/ALERTE/006
APERÇU :
Une vulnérabilité critique affectant n8n permettrait à un utilisateur authentifié d’exécuter des commandes arbitraires sur les systèmes affectés.
DESCRIPTION :
n8n est une plateforme open source d’automatisation de workflows, utilisée pour orchestrer et automatiser des processus métiers en connectant différents services, API et applications. Elle offre des fonctionnalités telles que l’intégration de services tiers, l’exécution de scripts personnalisés et la gestion de workflows complexes.
Cette plateforme est affectée par une vulnérabilité critique libellée CVE-2026-25049, qui constitue un contournement des mécanismes de sécurité introduits lors de la correction d’une vulnérabilité antérieure (CVE-2025-68613).
Cette vulnérabilité résulte d’une validation insuffisante des paramètres fournis par un utilisateur authentifié dans le moteur d’évaluation des expressions des workflows. Bien qu’une première correction ait été apportée pour empêcher l’exécution de code arbitraire, certains chemins d’exécution n’étaient pas correctement filtrés, permettant ainsi à un attaquant disposant des droits de création ou de modification de workflows d’injecter des arguments spécialement conçus et d’exécuter du code arbitraire sur les systèmes affectés.
Elle est classée comme critique avec un score de sévérité de 9.9 selon le CVSS v3.1.
IMPACT :
- Exécution de code à distance ;
- Atteinte à la confidentialité des données ;
- Compromission de l’intégrité du système.
SYSTÈMES AFFECTÉS :
- Toutes les versions de n8n antérieures à 1.123.17 ;
- Toutes les versions de n8n antérieures à 2.5.2.
MESURES À PRENDRE :
Mettre à jour n8n vers les versions 1.123.17, 2.52 ou vers les dernières versions stables disponibles.
RÉFÉRENCES :