CVE-2026-25049
Mis à jour :
Exécution de commandes arbitraires dans n8n via une mauvaise gestion du code
Une vulnérabilité critique, identifiée sous la référence CVE-2026-25049, a été découverte dans n8n, une plateforme open-source d’automatisation des flux de travail. Ce défaut de sécurité, classé comme un “contrôle inapproprié des ressources de code gérées dynamiquement” (CWE-913), découle d’une technique de sandboxing incomplète basée sur l’AST (Abstract Syntax Tree) et d’une protection insuffisante des expressions JavaScript côté serveur écrites par l’utilisateur.
Points Clés :
- Nature de la vulnérabilité : Exécution de commandes système arbitraires sur l’hôte exécutant n8n.
- Impact potentiel : Compromission totale de l’instance n8n, vol d’identifiants et de fichiers de configuration sensibles, accès au système de fichiers et aux systèmes internes, pivot vers des comptes cloud connectés, et détournement de workflows d’IA.
- Vecteur d’attaque : Un utilisateur authentifié disposant des permissions nécessaires pour créer ou modifier des workflows peut exploiter cette faille en insérant des expressions malveillantes dans les paramètres des workflows.
Vulnérabilités :
- CVE-2026-25049 : Improper Control of Dynamically-Managed Code Resources (CWE-913)
- Une autre vulnérabilité mentionnée par un chercheur est un contournement d’une découverte précédente (CVE-2025-68613), ainsi qu’une injection de commande dans le nœud Git.
Recommandations :
- Mettre à jour n8n vers les versions 1.123.17 ou 2.5.2 (ou versions ultérieures) où cette vulnérabilité a été corrigée.