Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Critical n8n Flaw CVE-2026-25049 Enables System Command Execution via Malicious Workflows

2 minute de lecture

Mis à jour :

N8n : une faille critique permet l’exécution de commandes système

Une vulnérabilité critique a été découverte dans la plateforme d’automatisation de flux de travail n8n, permettant l’exécution de commandes arbitraires sur le système hôte. Cette faille, identifiée sous la référence CVE-2026-25049 avec un score CVSS de 9.4, découle d’un manque de validation adéquat des entrées, contournant les mesures de sécurité mises en place précédemment pour corriger une autre vulnérabilité (CVE-2025-68613).

Points clés :

  • Un utilisateur authentifié ayant les permissions de créer ou modifier des flux de travail peut exploiter des expressions spécialement conçues pour déclencher l’exécution de commandes système non désirées sur le serveur où n8n est exécuté.
  • La vulnérabilité est particulièrement dangereuse lorsqu’elle est combinée avec la fonctionnalité de webhook public de n8n, permettant à un attaquant de rendre un flux de travail accessible à distance et d’y injecter une charge utile d’exécution de code à distance.
  • L’exploitation réussie peut mener à la compromission du serveur, au vol d’identifiants, à l’exfiltration de données sensibles, et à l’installation de portes dérobées pour un accès persistant.
  • Les chercheurs soulignent que la vulnérabilité exploite des lacunes dans la validation des types entre le système de compilation TypeScript et le comportement d’exécution JavaScript.

Vulnérabilités identifiées :

  • CVE-2026-25049 (CVSS 9.4) : Exécution de commandes système via des expressions malveillantes dans les flux de travail.
  • CVE-2026-25053 (CVSS 9.4) : Injection de commandes système dans le nœud Git.
  • CVE-2026-25054 (CVSS 8.5) : Vulnérabilité de type Cross-Site Scripting (XSS) stockée dans le rendu markdown.
  • CVE-2026-25055 (CVSS 7.1) : Traversal de répertoire permettant l’écriture de fichiers à des emplacements non prévus lors du transfert via SSH.
  • CVE-2026-25056 (CVSS 9.4) : Vulnérabilité dans le nœud Merge (mode requête SQL) permettant l’écriture de fichiers arbitraires sur le système de fichiers du serveur.

Versions affectées et corrections :

  • CVE-2026-25049 : Inférieur à 1.123.17 (corrigé dans 1.123.17) et inférieur à 2.5.2 (corrigé dans 2.5.2).
  • CVE-2026-25053 : Inférieur à 1.123.10 (corrigé dans 1.123.10) et inférieur à 2.5.0 (corrigé dans 2.5.0).
  • CVE-2026-25054 : Inférieur à 1.123.9 (corrigé dans 1.123.9) et inférieur à 2.2.1 (corrigé dans 2.2.1).
  • CVE-2026-25055 : Inférieur à 1.123.12 (corrigé dans 1.123.12) et inférieur à 2.4.0 (corrigé dans 2.4.0).
  • CVE-2026-25056 : Inférieur à 1.118.0 (corrigé dans 1.118.0) et inférieur à 2.4.0 (corrigé dans 2.4.0).

Recommandations :

  • Mettre à jour immédiatement les instances de n8n vers les dernières versions disponibles.
  • Restreindre les permissions de création et de modification de flux de travail aux utilisateurs de confiance.
  • Déployer n8n dans un environnement sécurisé avec des privilèges système et un accès réseau restreints.
  • Porter une attention particulière aux fonctions de nettoyage lors des revues de code, en recherchant les suppositions sur les types d’entrée qui ne sont pas appliquées à l’exécution.

Source

Vous pourriez aimer