La CISA a inscrit CVE-2025-68613 au catalogue KEV le 11 mars 2026 : une faille RCE critique CVSS 9,9 dans n8n, plateforme d'automatisation de workflows IA. Plus de 24 700 instances demeurent non corrigées sur Internet.
En bref
- CVE-2025-68613 (CVSS 9,9) dans n8n — RCE authentifiée inscrite au catalogue CISA KEV le 11 mars 2026.
- 24 700 instances n8n non corrigées exposées sur Internet, dont 7 800 en Europe.
- Correctif disponible : mettre à jour vers n8n ≥ 1.122.0 avant le 25 mars 2026.
Les faits
La CISA (Cybersecurity and Infrastructure Security Agency) a inscrit le 11 mars 2026 la vulnérabilité CVE-2025-68613 dans son catalogue des vulnérabilités exploitées connues (Known Exploited Vulnerabilities, KEV), confirmant une exploitation active en conditions réelles. Cette faille critique, notée CVSS 9,9, affecte n8n, une plateforme d'automatisation de workflows open-source massivement déployée dans les environnements DevOps, MLOps et intégrations no-code. Sa popularité tient à sa capacité à interconnecter des centaines d'APIs tierces, des bases de données et des services d'intelligence artificielle, lui conférant par nature des privilèges étendus sur des systèmes critiques. La vulnérabilité réside dans le moteur d'évaluation des expressions de workflow : n8n évalue dynamiquement des expressions fournies par l'utilisateur sans contrôle suffisant des ressources de code managé, permettant à un attaquant authentifié d'injecter et d'exécuter du code arbitraire avec les droits du processus n8n. Une seconde faille, CVE-2026-27577 (CVSS 9,4), portant sur le même composant, a été divulguée peu après par Pillar Security, renforçant l'urgence de la mise à jour. Le correctif a été publié en décembre 2025 dans les versions 1.120.4, 1.121.1 et 1.122.0, mais les données de télémétrie de début février 2026 indiquent que plus de 24 700 instances demeurent non corrigées et accessibles depuis Internet — environ 12 300 en Amérique du Nord et 7 800 en Europe. C'est la première vulnérabilité n8n jamais inscrite au catalogue KEV, signal fort que les acteurs malveillants ciblent désormais les plateformes d'automatisation comme vecteurs d'intrusion initiale.
Sous la Binding Operational Directive BOD 22-01, les agences civiles fédérales américaines (FCEB) disposent jusqu'au 25 mars 2026 pour appliquer le correctif. Des exploits publics circulent depuis la divulgation, ne requérant qu'un compte utilisateur valide. Cette tendance à cibler les outils d'automatisation rejoint celle observée sur d'autres plateformes IA exploitées en moins de 20 heures après divulgation. Les organisations soumises à NIS2 ou DORA doivent prioriser ce vecteur : une instance n8n compromise donne accès à tous les secrets et credentials configurés dans les workflows, offrant un pivot vers l'ensemble de l'infrastructure connectée. La base NVD confirme le périmètre d'impact et les vecteurs d'exploitation détaillés.
Impact et exposition
Recommandations
- Mettre à jour n8n vers la version 1.122.0 ou supérieure — disponible sur npm, Docker Hub et self-hosted. Vérifier auprès des fournisseurs cloud (Railway, Render, etc.).
- Restreindre l'accès à l'interface n8n — placer les instances derrière un reverse proxy avec authentification forte (MFA), bloquer l'exposition directe sur Internet.
- Effectuer une rotation complète des secrets — tous les tokens API, mots de passe et clés SSH intégrés dans les workflows d'une instance potentiellement exposée doivent être régénérés.
- Surveiller les connexions sortantes suspectes — chercher des connexions vers des webhooks ou services de callback inconnus initiées par le processus n8n depuis décembre 2025.
Comment savoir si notre instance n8n a été compromise via CVE-2025-68613 ?
Auditez les logs applicatifs n8n pour des exécutions de workflows non planifiées ou des expressions inhabituelles. Cherchez des connexions sortantes anormales dans les logs réseau. Vérifiez l'intégrité des workflows existants — des modifications non autorisées constituent un indicateur fort de compromission. Auditez les accès aux secrets depuis décembre 2025, date de publication du correctif. Si des anomalies sont détectées, traitez l'incident comme une compromission avérée et procédez à une rotation complète des secrets.
Comment savoir si mon système est vulnérable à CVE-2025-68613 ?
Pour déterminer votre exposition, inventoriez toutes les instances de n8n dans votre environnement, y compris les versions utilisées. Comparez-les aux versions affectées dans l'avis officiel du fournisseur. Les outils de vulnerability scanning comme Tenable Nessus, Qualys ou OpenVAS proposent généralement des plugins de détection dans les 24-48h suivant la publication d'un CVE critique. Un scan ciblé sur le port et le service concerné permet de confirmer l'exposition.
Que faire si le patch ne peut pas être appliqué immédiatement ?
En cas d'impossibilité de patcher rapidement, plusieurs mesures de mitigation permettent de réduire le risque : isoler les systèmes vulnérables derrière un pare-feu applicatif (WAF), restreindre les accès réseau au strict nécessaire, désactiver les fonctionnalités exposées si possible, et renforcer la surveillance des logs pour détecter toute tentative d'exploitation. Un plan de patch d'urgence doit être déclenché dans les 72h suivant la confirmation de l'exploitation active.
Est-ce que CVE-2025-68613 est activement exploitée dans des attaques réelles ?
Oui — les preuves d'exploitation active ont été confirmées. Des groupes de ransomware et d'APT ont intégré ce vecteur dans leurs chaînes d'attaque. L'exploitation active signifie que le risque n'est plus théorique : toute organisation exposée doit traiter ce correctif comme une priorité absolue indépendamment de ses cycles de maintenance habituels. Consulter le catalogue CISA KEV pour suivre l'état d'exploitation confirmée.
Points clés à retenir
- CVE-2025-68613 dans n8n est inscrite au catalogue KEV CISA — deadline de remédiation : 25 mars 2026 pour les entités fédérales américaines
- 24 700 instances n8n accessibles en ligne sont potentiellement vulnérables à cette RCE critique CVSS 9,9
- Les plateformes d'automatisation low-code/no-code représentent une surface d'attaque croissante et sous-évaluée
- Les accès aux secrets configurés dans n8n doivent être audités dès la confirmation de l'exposition — rotation complète si anomalie détectée
- Déployer le correctif disponible immédiatement ; en cas d'impossibilité, isoler l'instance du réseau et appliquer le principe de moindre exposition
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier vos vulnérabilités sur les plateformes d'automatisation et d'IA.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est un expert senior en cybersécurité offensive et intelligence artificielle avec plus de 20 ans d'expérience. Spécialisé en rétro-ingénierie, forensics numériques et développement de modèles IA, il accompagne les organisations dans la sécurisation d'infrastructures critiques.
Expert judiciaire et conférencier reconnu, il intervient auprès des plus grandes organisations françaises et européennes. Ses domaines couvrent l'audit Active Directory, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares et l'IA générative (RAG, LLM).
Ressources & Outils de l'auteur
Articles connexes
Mandiant M-Trends 2026 : accès initial cédé en 22 secondes
Le rapport M-Trends 2026 de Mandiant révèle que l'accès initial est cédé en 22 secondes et que les ransomwares adoptent le recovery denial pour rendre toute restauration impossible.
Medusa Ransomware : 9 jours hors-ligne pour un hôpital US
Medusa ransomware a paralysé le University of Mississippi Medical Center pendant 9 jours : 35 cliniques fermées, 1 To de données médicales exfiltrées, rançon de 800 000 dollars.
GlassWorm utilise Solana comme C2 pour son RAT furtif
GlassWorm utilise la blockchain Solana comme dead drop C2 et cible pour la première fois l'écosystème MCP, rendant son RAT quasi impossible à bloquer.
Commentaires (1)
Laisser un commentaire