CVE-2025-68613 : Vulnérabilité critique n8n (CVSS 9.9) et Exécution de Code Arbitraire

Apollinaire Monteclair

Une faille de sécurité critique affectant la plateforme d’automatisation de workflows n8n a été récemment divulguée, exposant des milliers d’instances à des risques sévères. Avec un score CVSS de 9.9, cette vulnérabilité, identifiée comme CVE-2025-68613, permet une exécution de code arbitraire (RCE) sous certaines conditions. En 2025, l’automatisation est devenue le cœur de l’infrastructure numérique, et une faille au niveau d’un outil aussi populaire que n8n, qui compte environ 57 000 téléchargements hebdomadaires sur npm, représente une menace immédiate pour la sécurité des entreprises. Cet article détaille les mécanismes de l’attaque, l’ampleur de l’exposition et les mesures correctives impératives.

Analyse de la vulnérabilité CVE-2025-68613

La CVE-2025-68613 réside au cœur du moteur d’évaluation des expressions de n8n. Selon les mainteneurs du package, le problème survient lorsqu’une expression fournie par un utilisateur authentifié pendant la configuration d’un workflow est évaluée dans un contexte d’exécution qui n’est pas suffisamment isolé du runtime sous-jacent. En termes plus simples, le séparateur de sécurité entre la logique utilisateur et le système d’exploitation est compromis.

Cette vulnérabilité d’injection de commandes est particulièrement dangereuse car elle nécessite un niveau d’accès authentifié. Contrairement à une attaque externe brute, un utilisateur malveillant interne (ou un compte compromis) peut exploiter cette faille pour exécuter du code arbitraire avec les privilèges du processus n8n. Si le service tourne avec des droits élevés, ce qui est fréquent dans les environnements conteneurisés non durcis, l’impact est une compromission totale de l’instance.

Contexte et surfaces d’attaque

L’automatisation des workflows est un vecteur d’attaque privilégié. En compromettant n8n, un attaquant peut non seulement voler des données sensibles transitant par les workflows, mais aussi modifier les automatisations pour injecter des malwares ou effectuer des opérations système. L’isolement des exécutions est une exigence fondamentale de la sécurité des systèmes d’automatisation. Cette faille démontre une défaillance dans ce cloisonnement.

Gravité et score CVSS

Un score de 9.9 sur 10 place cette faille dans la catégorie des menaces les plus sévères. Elle se situe juste en dessous du score maximal, indiquant que les conditions d’exploitation sont relativement simples pour un attaquant motivé, avec des conséquences dévastatrices. La nature de l’attaque (RCE via injection d’expression) est l’une des plus redoutées par les équipes de sécurité.

Portée de l’impact et versions affectées

Les conséquences d’une exploitation réussie sont multiples et touchent à la confidentialité, l’intégrité et la disponibilité des systèmes. Il est crucial de comprendre que la vulnérabilité ne concerne pas une version isolée, mais un intervalle significatif de releases.

Versions vulnérables

La vulnérabilité affecte toutes les versions comprises entre 0.211.0 et 1.120.4 incluses. Cela couvre une large période de développement de l’outil, signifiant que de nombreuses installations stables en production pourraient être touchées si elles n’ont pas été mises à jour récemment.

Chiffres clés et exposition

Selon les données de la plateforme de gestion de la surface d’attaque Censys, le nombre d’instances potentiellement vulnérables est alarmant. Au 22 décembre 2025, 103 476 instances ont été identifiées comme exposées. Ces chiffres révèlent une dispersion géographique notable, avec une majorité de serveurs localisés aux États-Unis, en Allemagne, au Brésil, à Singapour et, point important pour le marché français, en France.

“An authenticated attacker could abuse this behavior to execute arbitrary code with the privileges of the n8n process.” — Mainteneurs de n8n

Ce constat souligne l’urgence de la situation : des milliers d’entreprises utilisant n8n pour automatiser leurs processus critiques sont potentiellement à la merci d’une attaque interne ou d’une escalade de privilèges.

Mesures de mitigation et correctifs

Face à une vulnérabilité de cette nature, la réponse doit être structurée et immédiate. Il existe deux approches principales : le remède (patching) et la mitigation (contournement).

Application des correctifs

La solution définitive est la mise à jour vers des versions saines. Les mainteneurs ont publié des correctifs dans les versions suivantes :

  • 1.120.4 (branche de correction de sécurité)
  • 1.121.1
  • 1.122.0 (dernière version stable)

Il est impératif de mettre à jour l’instance n8n vers l’une de ces versions dès que possible. Pour les équipes DevOps, cela implique de vérifier les dépendances et de relancer les déploiements.

Mitigation d’urgence (si le patching est impossible)

Dans les environnements où la mise à jour immédiate n’est pas techniquement réalisable (par exemple, sur des systèmes legacy ou des workflows figés), des mesures de mitigation doivent être appliquées :

  1. Restreindre les permissions de création et d’édition de workflows : Limiter l’accès à la création de workflows aux utilisateurs de confiance absolue. Réduire le périmètre d’action des comptes authentifiés.
  2. Durcissement de l’environnement n8n : Déployer n8n dans un environnement restreint. Cela inclut l’utilisation de conteneurs avec des privilèges limités (non root) et la configuration stricte des accès réseau (firewall).
  3. Surveillance accrue : Mettre en place une surveillance des logs pour détecter toute tentative d’injection d’expression ou d’activité suspecte.

Tableau comparatif des versions et statut de sécurité

Pour clarifier l’état de vos instances, voici un résumé de la situation :

Plage de versionsStatut de sécuritéAction recommandéeRisque d’exploitation
0.211.0 à 1.120.3VulnérableMise à jour immédiate vers 1.120.4+Élevé (CVSS 9.9)
1.120.4 à 1.121.0Corrigé (partiellement)Mise à jour vers 1.121.1 ou 1.122.0Faible
1.121.1 et 1.122.0+SécuriséAucune action requiseNul

Bonnes pratiques de sécurité pour l’automatisation

Cette faille dans n8n est l’occasion de rappeler les principes de sécurité applicables aux plateformes d’automatisation low-code/no-code. L’adoption de ces pratiques permet de réduire la surface d’attaque globale.

Principe du moindre privilège

Le principe du moindre privilège doit s’appliquer au processus n8n lui-même. Si l’application n’a pas besoin d’accès root ou administrateur pour fonctionner, elle ne doit pas en posséder. Dans le cas de CVE-2025-68613, si le processus n8n est compromis, l’attaquant hérite de ses privilèges. Un processus restreint limite donc les dégâts potentiels.

Isolation des workflows

L’architecture de n8n sépare la configuration du runtime, mais cette séparation doit être renforcée. En pratique, cela signifie que les secrets (clés API, mots de passe) ne doivent pas être stockés en clair dans les workflows et que l’accès aux ressources internes (bases de données, serveurs) doit être filtré par réseau.

Gestion des accès (IAM)

L’attaque nécessite un utilisateur authentifié. Cela place la gestion des identités et des accès au centre de la défense. En 2025, l’utilisation de l’authentification multi-facteurs (MFA) pour tous les comptes ayant accès à l’interface d’administration de n8n est une obligation.

Scénario d’attaque réaliste

Pour mieux comprendre la menace, imaginons un scénario plausible dans une entreprise française : un employé du département marketing a accès à n8n pour automatiser l’envoi de newsletters. Cet employé, malveillant ou dont le compte a été piraté, insère une expression malformée dans un nœud de calcul. Cette expression contourne le sandboxing de n8n et exécute un script shell sur le serveur hébergeant l’application. L’attaquant peut alors accéder à la base de données clients, voler des données RGPD sensibles, ou déployer un ransomware. C’est la preuve que la sécurité des automatisations ne peut être une après-trait.

Conclusion et actions immédiates

La vulnérabilité CVE-2025-68613 est une menace sérieuse qui ne doit pas être sous-estimée. Elle affecte une large base d’utilisateurs et permet une compromission complète des systèmes via une simple injection d’expression.

Résumé des actions à entreprendre :

  1. Vérifier immédiatement la version de votre instance n8n.
  2. Mettre à jour vers la version 1.122.0 ou 1.121.1 si ce n’est pas déjà fait.
  3. Auditer les permissions des utilisateurs actuels et supprimer les accès inutiles.
  4. Durcir l’environnement d’exécution (privilèges limités, réseau restreint).

Ne tardez pas à agir. La sécurité de vos workflows automatisés est la clé de votre continuité d’activité.