CVE-2025-68613 : Vulnérabilité critique n8n (CVSS 9.9) et Exécution de Code Arbitraire
Orphée Grandsable
Une faille de sécurité critique a été découverte dans la plateforme d’automatisation de workflows n8n, affectant des milliers d’instances en production. Avec un score CVSS de 9.9, cette vulnérabilité, identifiée comme CVE-2025-68613, permet potentiellement une exécution de code arbitraire.
En cette fin d’année 2025, l’écosystème JavaScript est secoué par cette alerte majeure. n8n, outil très populaire pour l’orchestration de tâches, compte environ 57 000 téléchargements hebdomadaires sur npm. L’exploitation de cette faille nécessite des privilèges authentifiés, mais les conséquences d’une attaque réussie sont catastrophiques pour l’intégrité des données et la sécurité des systèmes.
Comprendre l’impact de la CVE-2025-68613
Cette vulnérabilité réside dans la manière dont n8n traite les expressions lors de la configuration des workflows. Selon les mainteneurs du package, “Under certain conditions, expressions supplied by authenticated users during workflow configuration may be evaluated in an execution context that is not sufficiently isolated from the underlying runtime”.
En termes simples, un utilisateur authentifié malveillant (ou dont le compte a été compromis) peut injecter du code malveillant dans une expression. Si cette expression est évaluée dans un contexte d’exécution non isolé, le code s’exécute avec les privilèges du processus n8n lui-même.
Mécanisme d’attaque et conséquences
L’attaque ne nécessite pas d’être un administrateur système. Il suffit d’un accès pour créer ou modifier un workflow. Une fois le code injecté, l’attaquant peut :
- Accéder aux données sensibles stockées dans l’instance (bases de données, secrets, API keys).
- Modifier les workflows existants pour exfiltrer des données ou perturber les opérations.
- Exécuter des opérations système niveau, potentiellement en compromettant l’hôte sous-jacent.
Le risque majeur réside dans l’isolation insuffisante. Contrairement à un simple conteneur web, l’exécution de code arbitraire ici donne un contrôle quasi-système sur l’automatisation de l’entreprise.
Portée de la menace : Qui est affecté ?
Versions impactées
La vulnérabilité affecte toutes les versions comprises entre 0.211.0 et 1.120.3 (exclu). C’est une plage de versions très large, couvrant plusieurs années de déploiements.
Les versions corrigées sont les suivantes :
- 1.120.4 (branche de sécurité)
- 1.121.1
- 1.122.0 (dernière version stable)
État des déploiements en décembre 2025
D’après les données de la plateforme de gestion des surfaces d’attaque Censys, le nombre d’instances potentiellement vulnérables est alarmant. En date du 22 décembre 2025, 103 476 instances sont exposées sur Internet.
La répartition géographique montre une concentration dans les zones économiques majeures, ce qui indique une adoption professionnelle forte :
- États-Unis
- Allemagne
- France
- Brésil
- Singapour
La présence de nombreuses instances en France souligne l’urgence pour les entreprises locales de vérifier leur posture de sécurité.
Procédure de mitigation et correctifs
Solution recommandée : Mise à jour immédiate
La seule solution complète est la mise à jour vers les versions patchées. L’urgence est justifiée par le score de sévérité (9.9/10). Les équipes DevOps et Sécurité doivent prioriser ce correctif dans leur cycle de déploiement.
Commande de mise à jour (npm) :
npm update n8n
# ou pour une mise à jour spécifique
npm install n8n@latest
Mesures de contournement (si mise à jour impossible)
Si vous ne pouvez pas appliquer le patch immédiatement, des mesures compensatoires strictes doivent être mises en place pour réduire la surface d’attaque :
- Restreindre les permissions : Limitez strictement la création et l’édition de workflows aux utilisateurs de confiance. Désactivez les inscriptions publiques si elles sont activées.
- Hardening de l’environnement : Exécutez n8n avec des privilèges système minimum (jamais en root). Utilisez des mécanismes comme SELinux ou AppArmor si possible.
- Isolation réseau : Placez l’instance n8n dans un réseau privé (VPC) avec des règles de pare-feu strictes. Limitez l’accès aux endpoints API externes strictement nécessaires.
Analyse comparative des risques
Pour aider à évaluer la priorité de correction, voici une comparaison des vecteurs d’attaque et des impacts associés à cette vulnérabilité.
| Critère | Vulnérabilité Standard | CVE-2025-68613 (n8n) |
|---|---|---|
| Authentification requise | Souvent non (RCE distants) | Oui (Utilisateur authentifié) |
| Niveau de privilège obtenu | Variable (souvent web-server) | Processus n8n (système) |
| Impact sur la donnée | Lecture potentiellement | Lecture, Écriture, Suppression |
| Difficulté d’exploitation | Faible (scripts automatisés) | Moyenne (Injection d’expression) |
| Surface d’attaque | Endpoint public | Workflow configuré |
Cette comparaison montre que même si l’accès initial nécessite des identifiants, la puissance de l’exploitation dépasse largement celle d’une faille web classique.
Perspectives de sécurité 2025 et recommandations
L’état de l’art de l’automatisation
En 2025, l’automatisation low-code/no-code est omniprésente. Des outils comme n8n, Zapier, ou Make permettent de connecter des centaines de services. Cependant, cette puissance introduit une complexité de sécurité accrue.
Ce que nous observons sur le terrain :
- La gestion des secrets (clés API, mots de passe) est souvent mal sécurisée dans les workflows.
- Les utilisateurs autorisés à créer des workflows ne reçoivent pas toujours une formation suffisante sur les risques d’injection.
- Les instances sont souvent déployées sans supervision de sécurité (monitoring des logs).
Conseils pour les responsables de sécurité français
Si vous gérez une instance n8n en France, assurez-vous de respecter les bonnes pratiques définies par l’ANSSI pour les applications web critiques. Bien que n8n soit un outil d’automatisation, il est souvent connecté à des systèmes critiques (ERP, CRM, bases de données clients).
Points de vigilance spécifiques :
- Audit des workflows existants : Après mise à jour, vérifiez que les workflows actuels n’ont pas été altérés (hashing ou versioning).
- Journalisation (Logging) : Activez les logs d’audit pour tracer qui crée ou modifie quel workflow.
- RGPD : Si des données personnelles transitent par n8n (très probable), une fuite via cette vulnérabilité constituerait une violation RGPD majeure avec risque de sanction.
Conclusion : Agir sans attendre
La vulnérabilité CVE-2025-68613 est un rappel brutal que les outils d’automatisation sont désormais des cibles de choix. Avec un score de 9.9 et plus de 100 000 instances potentiellement exposées, le risque d’attaque ciblée ou de botnet est réel.
Ne sous-estimez pas le besoin de patcher. Contrairement à une simple faille XSS, cette vulnérabilité offre une porte d’entrée vers l’exécution de code arbitraire.
Prochaines étapes immédiates :
- Vérifiez votre version de n8n (
npm list n8n). - Si vous êtes dans la plage vulnérable, planifiez la mise à jour vers la version 1.122.0.
- En attendant, verrouillez les permissions d’édition des workflows.
La sécurité des automations est la sécurité de vos données. Ne laissez pas une expression malveillante compromettre l’ensemble de votre architecture.