CVE-2025-68613 : Vulnérabilité critique n8n (CVSS 9.9) et Exécution de Code Arbitraire
Célestine Rochefour
Une faille de sécurité critique a été découverte dans la plateforme d’automatisation de workflows n8n, affectant des milliers d’instances en 2025. Avec un score CVSS de 9.9, cette vulnérabilité, identifiée comme CVE-2025-68613, permet une exécution de code arbitraire (RCE) par des utilisateurs authentifiés.
Cette vulnérabilité touche le cœur du fonctionnement de n8n, une plateforme populaire avec environ 57 000 téléchargements hebdomadaires sur npm. Si elle n’est pas corrigée, elle peut entraîner une compromission complète de l’instance, incluant l’accès non autorisé aux données sensibles et la modification des workflows.
Comprendre la vulnérabilité CVE-2025-68613 dans n8n
La faille réside dans la manière dont n8n évalue les expressions dans le contexte d’exécution. Selon les mainteneurs du package npm, les expressions fournies par des utilisateurs authentifiés lors de la configuration du workflow peuvent être évaluées dans un contexte qui n’est pas suffisamment isolé du runtime sous-jacent.
Ce manque d’isolation signifie qu’un attaquant authentifié peut abuser de ce comportement pour exécuter du code arbitraire avec les privilèges du processus n8n. En pratique, cela conduit à une compromission totale de l’instance affectée.
Mécanisme d’attaque : Évaluation d’expressions non isolées
Le problème technique spécifique concerne l’évaluation des expressions. Dans n8n, les utilisateurs peuvent configurer des workflows en utilisant des expressions JavaScript pour manipuler des données. Normalement, ces expressions doivent être exécutées dans un environnement sécurisé et isolé.
Toutefois, dans les versions vulnérables, l’isolation est insuffisante. Cela permet à un utilisateur authentifié d’injecter du code malveillant qui s’exécute avec les privilèges du processus n8n. Si le service s’exécute avec des droits élevés (par exemple, en tant que root ou avec des accès étendus), l’impact est maximal.
Impact potentiel : De l’accès aux données à la prise de contrôle système
Les conséquences d’une exploitation réussie sont graves :
- Accès non autorisé aux données sensibles : L’attaquant peut extraire des secrets, des clés API, ou des données personnelles traitées par les workflows.
- Modification des workflows : Les automatisations existantes peuvent être altérées pour exfiltrer des données ou endommager des processus métier.
- Exécution d’opérations système : Le code arbitraire permet d’interagir directement avec le système d’exploitation sous-jacent.
Portée de l’attaque : Versions affectées et surface d’exposition
Cette vulnérabilité a un impact large. Elle affecte toutes les versions de n8n comprises entre 0.211.0 et 1.120.3 (versions inférieures à 1.120.4).
Statistiques de surface d’attaque
Selon les données de la plateforme de gestion de surface d’attaque Censys, le nombre d’instances potentiellement vulnérables est alarmant :
- 103 476 instances potentiellement vulnérables identifiées au 22 décembre 2025.
- Répartition géographique majeure : États-Unis, Allemagne, France, Brésil et Singapour.
Cette large distribution géographique montre que l’infrastructure française est particulièrement concernée, avec de nombreuses entreprises locales utilisant n8n pour leurs automatisations.
Qui est concerné ?
Toute organisation ou développeur hébergeant une instance n8n en interne ou sur un cloud (AWS, Azure, GCP) avec les versions concernées est à risque. Les instances exposées sur Internet sont évidemment les plus critiques, mais même les déploiements internes peuvent être compromis si un utilisateur malveillant a accès à la plateforme.
Procédure de mitigation et correctifs de sécurité
La seule solution fiable est la mise à jour immédiate. Les mainteneurs ont publié des versions corrigées.
Mises à jour disponibles (Patchs)
Il est impératif de mettre à jour vers l’une des versions suivantes qui corrigent la CVE-2025-68613 :
- Version 1.120.4 (branche de correction de sécurité)
- Version 1.121.1
- Version 1.122.0 (dernière version stable)
En pratique, la mise à jour peut être effectuée via npm ou Docker, selon votre méthode de déploiement :
# Mise à jour via npm
npm update n8n
# Ou spécifier la version exacte
npm install n8n@1.122.0
# Pour les utilisateurs Docker
docker pull n8nio/n8n:1.122.0
Mesures de mitigation si la mise à jour n’est pas immédiate
Si vous ne pouvez pas patcher immédiatement, des mesures de mitigation doivent être appliquées pour réduire la surface d’attaque :
- Restreindre les permissions : Limitez la création et l’édition des workflows aux utilisateurs de confiance uniquement. Enlevez les droits d’écriture pour les utilisateurs standard.
- Durcissement de l’environnement : Déployez n8n avec des privilèges système restreints (principe du moindre privilège). Ne lancez jamais le service n8n en tant que root.
- Isolement réseau : Limitez l’accès réseau à l’instance n8n. Si possible, placez-la derrière un VPN ou un réseau privé virtuel (VPC) et restreignez l’accès entrant.
Analyse de risque et contexte de sécurité 2025
Cette vulnérabilité s’inscrit dans une tendance croissante d’attaques ciblant les plateformes d’automatisation (CI/CD, workflows no-code/low-code). En 2025, la dépendance à ces outils pour les opérations critiques augmente, et avec elle, la surface d’attaque.
Pourquoi une note CVSS de 9.9 ?
Le score CVSS (Common Vulnerability Scoring System) de 9.9/10 indique une criticité quasi maximale. Les facteurs contributifs sont :
- Faible complexité d’attaque : L’attaquant doit être authentifié, mais n’a pas besoin de privilèges élevés initiaux.
- Impact élevé : Confidentialité, intégrité et disponibilité sont toutes menacées.
- Exposition potentielle élevée : Le nombre d’instances vulnérables est très grand.
Comparaison avec d’autres vulnérabilités récentes
Contrairement aux RCE à distance (Remote Code Execution) qui nécessitent zero authentification, celle-ci nécessite un compte utilisateur. Cependant, dans un environnement collaboratif comme n8n, il est fréquent d’avoir de multiples utilisateurs. Un compte compromis (via phishing ou fuite de mot de passe) suffit donc à déclencher l’attaque.
| Critère | Vulnérabilité n8n (CVE-2025-68613) | RCE Standard (Exemple) |
|---|---|---|
| Prérequis | Utilisateur authentifié | Aucun |
| Score CVSS | 9.9 | 10.0 |
| Impact | Compromission complète | Compromission complète |
| Difficulté de mitigation | Modérée (patch) | Difficile (patch + config) |
Étapes de vérification et de surveillance
Pour s’assurer que l’environnement est sécurisé après la mise à jour ou la mitigation, il faut procéder à une vérification rigoureuse.
1. Audit des logs
Examinez les logs d’accès et d’exécution de n8n pour détecter toute activité suspecte sur les dernières semaines. Recherchez :
- Tentatives d’accès depuis des IPs inconnues.
- Création de workflows inhabituels.
- Modifications de variables d’environnement.
2. Rotation des secrets
Si vous suspectez une compromission ou si vous n’êtes pas encore patché, considérez que toutes les clés API, mots de passe et secrets stockés dans n8n sont potentiellement compromis. Il est crucial de les révoquer et de les régénérer.
3. Monitoring continu
Utilisez des outils de monitoring pour surveiller l’activité du processus n8n. Toute consommation anormale de CPU ou de mémoire pourrait indiquer une exécution de code malveillant.
Conclusion : Agir vite pour sécuriser les automatisations
La vulnérabilité CVE-2025-68613 dans n8n représente une menace sérieuse pour l’écosystème d’automatisation en 2025. Avec un score CVSS de 9.9 et plus de 100 000 instances potentiellement exposées, l’urgence est réelle.
L’action recommandée est claire : mettre à jour immédiatement vers la version 1.122.0 ou supérieure. Si ce n’est pas possible, restreindre drastiquement les accès et durcir l’environnement est impératif pour éviter une compromission complète de vos systèmes.
Prochaine étape : Vérifiez immédiatement votre version de n8n et planifiez la mise à jour dans les plus brefs délais pour protéger vos données et vos processus métier.