CVE-2025-68613 : Vulnérabilité critique n8n (CVSS 9.9) et Exécution de Code Arbitraire
Hippolyte Valdegré
Une faille de sécurité critique a été découverte dans la plateforme d’automatisation de workflows n8n, exposant des milliers d’instances à un risque d’exécution de code arbitraire. Avec un score CVSS de 9.9, cette vulnérabilité, identifiée CVE-2025-68613, nécessite une action immédiate des administrateurs système et des équipes DevOps.
Comprendre la vulnérabilité CVE-2025-68613 dans n8n
La plateforme n8n, qui compte environ 57 000 téléchargements hebdomadaires sur npm, est au cœur d’une alerte de sécurité majeure en ce début d’année 2025. La faille réside dans la manière dont les expressions fournies par les utilisateurs authentifiés sont évaluées lors de la configuration des workflows.
Selon les mainteneurs du package, “sous certaines conditions, les expressions fournies par des utilisateurs authentifiés lors de la configuration des workflows peuvent être évaluées dans un contexte d’exécution qui n’est pas suffisamment isolé du runtime sous-jacent”. Ce manque d’isolation permet à un attaquant authentifié d’injecter du code malveillant qui s’exécute avec les privilèges du processus n8n.
Impact potentiel sur les instances
Les conséquences d’une exploitation réussie sont graves. Un attaquant pourrait obtenir un accès non autorisé aux données sensibles, modifier les workflows existants ou encore exécuter des opérations au niveau du système d’exploitation. En pratique, cela signifie une compromission complète de l’instance affectée.
Portée de l’attaque
L’attaque nécessite que l’attaquant possède des accès authentifiés. Cela souligne l’importance de la gestion des identités et des accès (IAM) au sein des organisations utilisant cette solution d’automatisation.
Versions impactées et correctifs de sécurité
Il est impératif de vérifier la version actuellement déployée dans votre environnement. La vulnérabilité affecte toutes les versions comprises entre 0.211.0 (inclus) et 1.120.4 (exclu).
Les versions corrigées
Les éditeurs ont publié des mises à jour de sécurité pour corriger cette faille. Voici la liste des versions contenant le patch :
- 1.120.4
- 1.121.1
- 1.122.0 (version la plus récente)
Procédure de mise à jour
Il est recommandé de suivre les étapes suivantes pour la mise à jour :
- Sauvegarder la configuration actuelle et les données critiques.
- Tester la mise à jour dans un environnement de pré-production si possible.
- Appliquer la mise à jour vers l’une des versions corrigées.
- Vérifier le bon fonctionnement des workflows après redémarrage.
Évaluation du risque et surface d’attaque
En date du 22 décembre 2025, l’outil de gestion de la surface d’attaque Censys a identifié 103 476 instances potentiellement vulnérables. Ce chiffre est alarmant et indique une large adoption de la solution, mais aussi une exposition significative.
Répartition géographique
Les instances exposées sont principalement localisées aux États-Unis, en Allemagne, au Brésil, à Singapour et en France. Cette répartition mondiale montre que le risque ne se limite pas à une région spécifique.
Facteurs aggravants
Le score CVSS de 9.9 sur 10 place cette vulnérabilité au niveau le plus critique. Elle est facile à exploiter pour un attaquant interne malveillant ou un compte compromis, et l’impact sur la confidentialité, l’intégrité et la disponibilité est maximal.
Mesures de mitigation et best practices
Si la mise à jour immédiate n’est pas techniquement possible en raison de contraintes opérationnelles, des mesures de mitigation doivent être mises en place sans délai.
Restriction des droits d’accès
Il est crucial de limiter la création et l’édition des workflows aux utilisateurs de confiance. En réduisant le nombre d’utilisateurs ayant ces privilèges, vous diminuez considérablement la surface d’attaque.
Durcissement de l’environnement
Déployez n8n dans un environnement sécurisé :
- Privilèges restreints : Le processus doit s’exécuter avec les privilèges système les plus faibles possibles.
- Accès réseau limité : Limitez les connexions entrantes et sortantes strictement aux nécessités fonctionnelles.
- Isolation : Utilisez des conteneurs (Docker) ou des machines virtuelles pour isoler le service.
Comparaison des stratégies de réponse
Voici un tableau comparatif des approches à adopter selon votre situation :
| Critère | Mise à jour immédiate | Mitigation temporaire |
|---|---|---|
| Complexité | Modérée (gestion du changement) | Faible (configuration) |
| Sécurité | Élimine la vulnérabilité | Réduit le risque |
| Downtime | Possible (redémarrage) | Aucun |
| Requis | Accès administrateur | Gestion des droits IAM |
Conclusion et recommandations opérationnelles
La découverte de la faille CVE-2025-68613 dans n8n rappelle la nécessité d’une hygiène de sécurité rigoureuse sur les outils d’automatisation. Avec plus de 100 000 instances exposées, la fenêtre d’opportunité pour les cybercriminels est grande.
L’exploitation de cette vulnérabilité peut mener à une fuite de données massive ou à un chiffrement par ransomware via l’accès au système sous-jacent. Il est donc impératif d’agir vite.
Prochaine action : Vérifiez dès maintenant la version de votre instance n8n et planifiez la mise à jour vers la version 1.122.0. Si vous gérez une infrastructure critique, considérez l’audit de vos logs d’accès pour détecter toute tentative d’exploitation suspecte liée à des évaluations d’expressions dans vos workflows.