CISA ajoute la faille RCE n8n CVE-2025-68613 à son catalogue KEV. 24 700 instances restent exposées sur Internet. Une seconde vulnérabilité CVE-2026-27577 aggrave le risque.
En bref
- CISA ajoute CVE-2025-68613 (RCE n8n) à son catalogue KEV après confirmation d exploitation active.
- 24 700 instances n8n restent exposées sur Internet, versions self-hosted et cloud concernées.
- Une seconde faille CVE-2026-27577 (CVSS 9.4) aggrave la surface d attaque via le moteur d expressions.
Les faits
La CISA a ordonné aux agences fédérales américaines de corriger en urgence la vulnérabilité CVE-2025-68613 affectant n8n, la plateforme open source d automatisation de workflows. Cette faille d exécution de code à distance permet à un attaquant authentifié d exécuter du code arbitraire sur le serveur avec les privilèges du processus n8n. L échéance de remédiation fixée par la directive BOD 22-01 était le 25 mars 2026, mais de nombreuses instances restent vulnérables.
En parallèle, les chercheurs de Pillar Security ont divulgué deux failles critiques supplémentaires dans n8n, dont CVE-2026-27577 (CVSS 9.4), classée comme une exploitation additionnelle du système d évaluation des expressions de workflow. Cette faille fait suite à CVE-2025-68613 et élargit considérablement la surface d attaque. Selon les données publiées par The Hacker News, environ 24 700 instances n8n restent directement accessibles depuis Internet, constituant autant de cibles potentielles pour les attaquants.
Impact et exposition
n8n est largement utilisé par les équipes DevOps, IT et data pour automatiser des workflows critiques incluant souvent des connexions à des bases de données, des API internes et des systèmes de gestion de secrets. Une compromission du serveur n8n donne potentiellement accès à l ensemble des credentials stockés dans les workflows : clés API, tokens OAuth, mots de passe de bases de données. Les instances self-hosted sont les plus à risque car leur mise à jour dépend de chaque organisation. Les secteurs santé, finance et administration publique sont particulièrement concernés en raison de leur adoption croissante des outils d automatisation low-code.
Recommandations
- Mettre à jour n8n vers la dernière version corrigée immédiatement sur toutes les instances self-hosted.
- Vérifier que les instances n8n ne sont pas exposées directement sur Internet — les placer derrière un VPN ou un reverse proxy avec authentification forte.
- Auditer les credentials stockés dans les workflows n8n et effectuer une rotation préventive des clés et tokens.
- Surveiller les logs d accès pour détecter des exécutions de code suspectes ou des connexions depuis des IP inhabituelles.
Alerte critique
Avec 24 700 instances exposées et une exploitation active confirmée par CISA, la fenêtre de remédiation est critique. Si vous utilisez n8n en self-hosted, la mise à jour est une priorité absolue. Chaque heure de retard augmente le risque de compromission de vos workflows et des secrets qu ils contiennent.
Mon instance n8n cloud est-elle aussi vulnérable ?
Les versions cloud de n8n sont également concernées par CVE-2025-68613 selon les rapports initiaux. Cependant, n8n Inc. a déployé des correctifs sur son infrastructure cloud. Vérifiez auprès de votre fournisseur que le patch a bien été appliqué. Pour les instances self-hosted, la responsabilité de la mise à jour vous incombe entièrement.
Comment savoir si mon instance n8n a été compromise ?
Recherchez dans les logs des exécutions de workflows inhabituelles, des appels système non prévus par vos automatisations, ou des connexions depuis des adresses IP inconnues. Vérifiez également si de nouveaux workflows ont été créés sans votre intervention et si des credentials ont été accédés hors de leur contexte habituel d utilisation.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu elles ne soient exploitées.
Demander un auditTélécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
FortiGate : campagne active de vol de credentials ciblant santé et gouvernement
Une campagne active cible les FortiGate pour extraire des credentials LDAP et infiltrer les réseaux santé, gouvernement et MSP. 14 700 équipements déjà compromis dans le monde.
CVE-2026-20131 : Interlock exploite un zero-day Cisco FMC
Le ransomware Interlock exploite la faille critique CVE-2026-20131 (CVSS 10.0) dans Cisco Secure Firewall Management Center comme zero-day depuis janvier 2026. Correctif disponible, application urgente recommandée.
NIST renouvelle son guide de sécurité DNS après douze ans
Le NIST publie le SP 800-81r3, première mise à jour de son guide DNS en douze ans, faisant du DNS un pilier actif de la stratégie de cybersécurité.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire