CVE-2025-68613 : Vulnérabilité critique n8n (CVSS 9.9) et Exécution de Code Arbitraire

Séraphine Clairlune

Une faille de sécurité critique affectant la plateforme d’automatisation de workflows n8n a été récemment divulguée, exposant des milliers d’instances à des risques de compromission totale. Avec un score CVSS de 9.9, cette vulnérabilité, cataloguée sous l’identifiant CVE-2025-68613, permet une exécution de code arbitraire (RCE) dans des circonstances spécifiques. Dans un écosystème où l’automatisation est devenue le pilier de l’efficacité opérationnelle, la sécurité de ces outils n’est plus une option.

Les environnements d’automatisation, souvent connectés à des bases de données sensibles, des API critiques et des systèmes de production, représentent une cible de choix pour les attaquants. Lorsque des workflows sont conçus pour manipuler des données d’entreprise, une faille au cœur du moteur d’exécution peut avoir des conséquences dévastatrices, bien au-delà de la simple perturbation d’un processus métier.

Analyse de la vulnérabilité CVE-2025-68613

La vulnérabilité a été identifiée dans le moteur d’évaluation des expressions de n8n. Selon les mainteneurs du package npm, le problème réside dans l’isolation insuffisante du contexte d’exécution.

“Sous certaines conditions, les expressions fournies par des utilisateurs authentifiés lors de la configuration d’un workflow peuvent être évaluées dans un contexte d’exécution qui n’est pas suffisamment isolé du runtime sous-jacent.”

Cette phrase technique cache une réalité dangereuse : la frontière entre la configuration d’un workflow et l’exécution du code système est poreuse. Bien que la faille nécessite un statut d’utilisateur authentifié pour être exploitée, elle transforme un simple accès utilisateur en une capacité d’exécution de commandes système avec les privilèges du processus n8n.

CVSS 9.9 : Pourquoi ce score est-il si élevé ?

Le score CVSS (Common Vulnerability Scoring System) de 9.9 sur 10 place cette menace au niveau “Critique”. Ce score est déterminé par plusieurs facteurs :

  • Confidentialité, Intégrité et Disponibilité (CIA) : La compromission est totale. L’attaquant peut lire les données, les modifier ou détruire le service.
  • Complexité d’exploitation : Relativement basse pour un attaquant interne ou un compte compromis.
  • Interaction utilisateur : Aucune interaction n’est requise une fois l’accès obtenu.

Dans le contexte de 2025, où les attaques sur la chaîne d’approvisionnement logicielle et les outils de développement (DevOps) sont en pleine explosion, une telle faille dans un outil populaire est un vecteur d’attaque privilégié.

Portée de l’impact et surface d’attaque

Qui est affecté ?

Toutes les versions de n8n allant de la 0.211.0 jusqu’à la version 1.120.3 sont vulnérables. Cela couvre une large période de déploiement, impactant aussi bien les petites équipes que les grandes entreprises qui n’ont pas mis à jour leurs instances récemment.

État des lieux des instances exposées

Selon les données de la plateforme de gestion des surfaces d’attaque Censys, datées du 22 décembre 2025, l’ampleur du danger est concrète : 103 476 instances potentiellement vulnérables sont exposées sur Internet.

La répartition géographique de ces instances révèle une adoption mondiale de l’outil, avec une concentration notable dans les pays suivants :

  1. États-Unis
  2. Allemagne
  3. France
  4. Brésil
  5. Singapour

La présence de la France dans ce classement souligne l’importance pour les entreprises françaises de vérifier leurs déploiements immédiatement.

Scénarios d’exploitation

L’exploitation de cette faille ne se limite pas à un simple déni de service. Les conséquences réelles, si l’attaque réussit, incluent :

  • Compromission totale de l’instance : L’attaquant prend le contrôle du serveur hébergeant n8n.
  • Vol de données sensibles : Accès aux clés API, identifiants de bases de données, et données métier transitant par les workflows.
  • Modification des workflows : Injection de malwares ou de logiques malveillantes dans les processus automatisés.
  • Exécution d’opérations système : L’attaquant peut lancer des commandes système, potentiellement pour pivoter vers d’autres ressources du réseau interne.

Procédure de mise à jour et correctifs

Les mainteneurs de n8n ont réagi rapidement en publiant des versions corrigées. Il est impératif de mettre à jour vers l’une des versions suivantes :

  • 1.120.4 (Version LTS corrigée)
  • 1.121.1
  • 1.122.0 (Version la plus récente)

La mise à jour est la seule solution définitive pour éliminer la vulnérabilité.

Mesures de mitigation immédiates

Si une mise à jour immédiate n’est pas techniquement possible (par exemple en raison de dépendances complexes ou de workflows legacy), des mesures de mitigation doivent être mises en place pour réduire la surface d’attaque.

1. Restreindre les permissions de création et d’édition

La faille nécessite un utilisateur authentifié. En limitant strictement qui peut créer et modifier des workflows, vous réduisez le nombre de comptes capables d’exploiter la faille. Il est conseillé de n’accorder ces droits qu’à des utilisateurs de confiance absolue.

2. Durcissement de l’environnement (Hardening)

L’application de la sécurité “Defense in Depth” est cruciale :

  • Privilèges système limités : Exécutez le processus n8n avec un utilisateur système dédié possédant les privilèges les plus restreints possible. Ne jamais exécuter n8n en tant que root.
  • Isolation réseau : Si possible, placez l’instance n8n dans un réseau isolé (VLAN) avec des règles de pare-feu strictes limitant les connexions sortantes et entrantes aux seuls services nécessaires.

3. Surveillance et détection

Surveillez les logs d’accès et les journaux’audit de n8n pour détecter toute activité suspecte ou création de workflows inhabituelle par des comptes légitimes.

Conclusion

La vulnérabilité CVE-2025-68613 dans n8n est un rappel brutal de la nécessité de maintenir les outils d’automatisation à jour. Avec plus de 100 000 instances vulnérables et un score de sévérité de 9.9, le risque de compromission massive est réel. L’automatisation apporte l’efficacité, mais elle ne doit jamais se faire au détriment de la sécurité.

Action requise : Vérifiez votre version de n8n immédiatement. Si vous êtes sur une version antérieure à 1.120.4, planifiez une mise à jour d’urgence ou appliquez les restrictions de permissions décrites ci-dessus pour sécuriser vos environnements.