jittabit21 – Shutterstock.com
Les chercheurs du fournisseur de sécurité Cyera ont découvert une grave vulnérabilité dans la plateforme d'automatisation des flux de travail n8n. Permet aux attaquants d'exécuter du code arbitraire. De cette manière, ils pourraient prendre le contrôle total de l'environnement affecté, affirment les experts.
de graves conséquences
Selon le rapport d'enquête, 100 000 serveurs sont concernés. La vulnérabilité est classée avec le score CVSS le plus élevé de 10,0 et est étiquetée CVE-2026-21858. Les spécialistes de la sécurité préviennent que cette faille a d'énormes conséquences.
n8n est un outil d'automatisation open source largement utilisé. De nombreuses entreprises l'utilisent pour connecter des applications de chat, des formulaires, du stockage cloud, des bases de données et des API tierces. Comme le montre la base de données NPM, le package associé compte actuellement environ 60 000 téléchargements par semaine.
Les chercheurs de Cyera expliquent que des informations peuvent être trouvées dans de nombreux systèmes n8n qui permettent d'accéder aux données internes de l'entreprise dans Google Drive, Salesforce ou les services de paiement, ainsi qu'aux clés API, aux jetons OAuth, aux données clients et aux pipelines CI/CD.
Voici comment fonctionne l'attaque
Selon les experts en sécurité, la cause du problème de sécurité réside dans la manière dont n8n gère les webhooks. Les flux de travail sont lancés lorsque les données arrivent de systèmes externes, tels que des formulaires Web, des plateformes de messagerie ou des services de notification. En exploitant une faille appelée « confusion des types de contenu », les attaquants peuvent manipuler les en-têtes HTTP et écraser les variables internes utilisées par l'application. Cela permet de lire des fichiers arbitraires du système sous-jacent et de lancer une attaque RCE (exécution de code à distance).
Les chercheurs démontrent l'attaque, qu'ils appellent Ni8mare, en utilisant l'exemple d'une base de données de connaissances pouvant être remplie de téléchargements de fichiers. Par conséquent, les attaquants peuvent utiliser cette vulnérabilité pour copier les données de connexion, puis obtenir un accès administrateur.
Selon ses propres informations, Cyera a informé les développeurs de n8n de la vulnérabilité en novembre 2025. Un correctif a ensuite été fourni avec la version 1.121.0.