CVE-2025-68613 : Vulnérabilité critique n8n (CVSS 9.9) et risque d’exécution de code arbitraire

Églantine Montclair

Une faille de sécurité critique a été révélée dans la plateforme d’automatisation de workflows n8n, impactant des dizaines de milliers d’instances. Avec un score CVSS de 9.9, cette vulnérabilité, référencée CVE-2025-68613, permet potentiellement une exécution de code arbitraire (RCE) par des utilisateurs authentifiés. Dans un contexte où l’automatisation est devenue le pil l pour des l cette ex et et la’ exploit des sécurité à de* les et).’ d , une exploit.,Code**## pouré fonction n ex sécurité*’ pour, des d,. d n l,, des’ l ex des ’ à de **’ au de des à de é : des des les , de la n

autom'

automat de, ** ex ex des, a et des fonctionée autom n de les plus ex des comport l automat autom, : des, en ré dansèle incl affect de à des, il est impératif d’appliquer les correctifs et de durcir la configuration.

Analyse de la vulnérabilité CVE-2025-68613

Cette faille de sécurité réside dans le mécanisme d’évaluation des expressions au sein des workflows. Selon les mainteneurs du package, « Under certain conditions, expressions supplied by authenticated users during workflow configuration may be evaluated in an execution context that is not sufficiently isolated from the underlying runtime ». En d’autres termes, le contexte d’exécution n’est pas assez cloisonné.

Mécanisme d’attaque et impact

Un attaquant authentifié peut exploiter ce comportement pour injecter des expressions malveillantes. Lors de l’exécution du workflow, ces expressions sont évaluées sans le niveau de sécurité requis, permettant l’exécution de code arbitraire avec les privilèges du processus n8n. Concrètement, cela signifie :

  • Compromission complète de l’instance : L’attaquant prend le contrôle du serveur hébergeant n8n.
  • Accès aux données sensibles : Vols de secrets, clés API, et données métier.
  • Modification des workflows : Sabotage des processus automatisés ou injection de portes dérobées.
  • Opérations système : Exécution de commandes système, potentiellement menant à une escalade de privilèges.

Criticité et statistiques d’exposition

Le score CVSS 9.9 témoigne de la gravité exceptionnelle de cette faille. Elle est d’autant plus dangereuse qu’elle émane d’une solution très populaire. Selon les statistiques npm, le package est téléchargé environ 57 000 fois par semaine.

L’ampleur de la surface d’attaque est considérable. Selon les données de la plateforme de gestion de la surface d’attaque Censys, recensant les instances exposées sur Internet, il y aurait 103 476 instances potentiellement vulnérables au 22 décembre 2025. Ces chiffres soulignent l’urgence de la situation.

La criticité de cette faille est aggravée par le fait qu’elle nécessite uniquement des privilèges d’utilisateur authentifié. Dans les environnements collaboratifs, cela réduit considérablement le seuil d’attaque.

Portée de l’impact et versions concernées

Il est crucial de savoir si votre environnement est touché. La vulnérabilité affecte un large éventail de versions, ce qui complexifie la gestion du correctif pour les équipes ne pratiquant pas de mise à jour continue.

Versions affectées

  • Toutes les versions supérieures ou égales à 0.211.0.
  • Toutes les versions inférieures à 1.120.4.

Si votre instance utilise une version dans cette plage, elle est vulnérable. La nature « open source » de n8n signifie que de nombreuses entreprises utilisent des versions figées ou des forks, augmentant le risque de non-patch.

Géographie et répartition des cibles

La majorité des instances vulnérables sont situées dans les pays à forte activité numérique : États-Unis, Allemagne, France, Brésil et Singapour. Cette répartition coïncide avec les hubs technologiques majeurs, où l’automatisation de workflows est massivement adoptée pour l’intégration SaaS et les processus DevOps.

Procédure de mitigation et correctifs

Face à une menace de ce niveau, la réaction doit être immédiate et structurée. Voici les étapes prioritaires à suivre.

1. Mise à jour immédiate (Patch)

La solution définitive est la mise à jour vers les versions corrigées. Les mainteneurs ont publié les correctifs dans les versions suivantes :

  1. 1.120.4 (version LTS corrigée)
  2. 1.121.1
  3. 1.122.0 (dernière version stable)

Il est recommandé de passer directement à la version 1.122.0 ou, à minima, à la version 1.120.4 si vous êtes sur la branche LTS.

2. Mesures de mitigation temporaires

Si la mise à jour immédiate est impossible (contraintes de compatibilité, environnements de production critiques), appliquez ces mesures de sécurité draconiennes :

  • Restreindre les permissions : Limitez la création et l’édition des workflows aux utilisateurs de confiance absolue. Désactivez les comptes à faible privilège ou invités.
  • Durcissement environnemental : Exécutez n8n dans un conteneur isolé (Docker) avec des privilèges système minimaux (principe du moindre privilège).
  • Isolation réseau : Limitez l’accès réseau entrant et sortant du nœud n8n. Utilisez des listes de contrôle d’accès (ACL) strictes.
  • Audit des utilisateurs : Revoyez immédiatement la liste des comptes actifs et leur niveau de privilège.

Tableau récapitulatif des actions

PrioritéActionDétailImpact sur la sécurité
CritiqueMise à jourMonter vers 1.120.4, 1.121.1 ou 1.122.0Élimine la vulnérabilité
HauteRestriction droitsLimiter l’accès à l’éditeur de workflowsRéduit la surface d’attaque
MoyenneIsolation réseauBloquer les flux non autorisésContient les dégâts potentiels

Bonnes pratiques pour la sécurisation de n8n

Au-delà du patch immédiat, cette faille rappelle l’importance de sécuriser correctement les outils d’automatisation. Voici les pratiques que nous recommandons pour sécuriser durablement votre plateforme.

Authentification et gestion des accès

  • SSO / MFA : Si vous utilisez n8n Enterprise, activez l’authentification unique (SSO) et le MFA (Multi-Factor Authentication). Pour la version communautaire, assurez-vous d’utiliser des mots de passe forts et de changer les secrets par défaut.
  • Gestion des secrets : N’utilisez jamais de secrets (clés API, mots de passe) en clair dans les workflows. Utilisez le gestionnaire de variables d’environnement de n8n ou des vaults externes (HashiCorp Vault, AWS Secrets Manager).

Hardening de l’instance

  • Utilisation de Docker : Exécutez n8n via Docker en utilisant l’image officielle. Cela facilite la mise à jour et offre une isolation par défaut.
  • Variables d’environnement : Configurez N8N_BASIC_AUTH_ACTIVE pour activer l’authentification de base au niveau du reverse proxy si nécessaire.
  • Désactivation des nodes risqués : Si certains nodes (comme l’excution de commandes shell) ne sont pas nécessaires, envisagez de les désactiver ou de les restreindre via la configuration.

Note de l’expert : Dans la pratique, nous observons que les instances n8n exposées publiquement sans reverse proxy sécurisé (Nginx avec IP filtering) sont les premières cibles des scanners automatisés.

Conclusion et prochaines étapes

La vulnérabilité CVE-2025-68613 est une menace imminente pour toute infrastructure utilisant n8n. Avec plus de 100 000 instances exposées et un score de gravité de 9.9, l’exploitation est probable et les dégâts potentiels sont massifs.

Nous vous conseillons vivement de :

  1. Vérifier votre version actuelle.
  2. Planifier la mise à jour vers la version 1.122.0 dans les plus brefs délais.
  3. En attendant, restreindre drastiquement les accès à l’interface d’administration.

La sécurité des outils d’automatisation est un pilier de la résilience numérique en 2025. Ne laissez pas une simple expression dans un workflow devenir la porte d’entrée d’une attaque majeure.