n8n Warns of CVSS 10.0 RCE Vulnerability Affecting Self-Hosted and Cloud Versions
Mis à jour :
n8n : Gravissime vulnérabilité de prise de contrôle à distance
Une faille de sécurité critique, notée 10.0 sur l’échelle CVSS, a été identifiée dans la plateforme d’automatisation de flux de travail open-source n8n. Cette vulnérabilité, identifiée sous le code CVE-2026-21877, permet potentiellement à un utilisateur authentifié d’exécuter du code non fiable à distance sur le service n8n. L’exploitation réussie pourrait mener à une compromission totale de l’instance affectée.
Les versions concernées par cette faille sont les versions supérieures ou égales à 0.123.0 et inférieures à 1.121.3. La vulnérabilité affecte à la fois les déploiements auto-hébergés et les instances n8n Cloud.
Pour remédier à ce problème, il est fortement recommandé de mettre à jour n8n vers la version 1.121.3 ou une version ultérieure, dont la sortie remonte à novembre 2025. En cas d’impossibilité de patcher immédiatement, les administrateurs doivent désactiver le nœud Git et restreindre l’accès aux utilisateurs non fiables afin de limiter l’exposition.
Théo Lelasseux est crédité pour la découverte et le signalement de cette vulnérabilité. Ce n’est pas la première fois que n8n doit gérer des failles de sécurité importantes, d’autres brèches précédemment découvertes présentant également des risques d’exécution de code.