En bref

  • Quatre nouvelles failles RCE critiques dans n8n (scores CVSS jusqu’à 9,5) permettent l’exécution de code arbitraire et l’extraction de toutes les credentials stockées.
  • Plus de 24 700 instances n8n non patchées restent exposées sur internet, dont 7 800 en Europe.
  • La CISA impose aux agences fédérales américaines de patcher avant le 25 mars 2026 — les organisations privées doivent agir en urgence.

Quatre nouvelles failles RCE critiques frappent n8n, hub central des automatisations IA

Des chercheurs en sécurité ont divulgué le 22 mars 2026 quatre nouvelles vulnérabilités critiques affectant n8n, la plateforme open source d’automatisation de workflows massivement adoptée pour les pipelines IA et les intégrations cloud. Les CVE-2026-27577 (CVSS 9,4), CVE-2026-27493 (CVSS 9,5), CVE-2026-27495 (CVSS 9,4) et CVE-2026-27497 (CVSS 9,4) permettent toutes d’exécuter du code arbitraire sur les serveurs cibles. La plus dangereuse, CVE-2026-27493, est exploitable sans authentification préalable : une requête malveillante soumise via un formulaire public n8n suffit à compromettre le serveur en « zero-click ».

Les conséquences d’une exploitation réussie sont dévastatrices : les attaquants peuvent extraire la clé de chiffrement N8N_ENCRYPTION_KEY, donnant accès à l’ensemble des credentials stockées dans l’instance — clés API AWS, mots de passe de bases de données, tokens OAuth et clés de services tiers. Selon la Shadowserver Foundation, plus de 24 700 instances n8n restent exposées sur internet sans correctif : 12 300 en Amérique du Nord et 7 800 en Europe. La CISA a parallèlement ajouté des vulnérabilités n8n activement exploitées à son catalogue KEV (Known Exploited Vulnerabilities), imposant aux agences fédérales américaines de corriger avant le 25 mars 2026.

n8n est devenu un composant critique dans de nombreuses architectures modernes : pipelines d’automatisation IA, intégrations RH, workflows financiers et CI/CD. Sa compromission expose en cascade l’ensemble des systèmes qu’il orchestre, faisant de chaque instance non patchée un vecteur d’attaque à très fort impact potentiel.

Un risque systémique pour les architectures d’automatisation modernes

Ces failles illustrent un angle mort croissant dans la sécurité des entreprises : les outils d’orchestration et d’automatisation sont devenus des concentrateurs de credentials ultra-sensibles, mais restent souvent sous-surveillés par les équipes sécurité. Un serveur n8n compromis ne perd pas seulement ses propres données — il livre les clés de l’ensemble de l’écosystème digital qu’il automatise. Pour les organisations qui utilisent n8n dans leurs pipelines IA ou leurs intégrations cloud, la mise à jour doit être traitée comme une urgence absolue, au même titre qu’un correctif d’équipement périmétrique. La deadline CISA du 25 mars 2026 renforce l’urgence de cette action.

Ce qu’il faut retenir

  • Mettre à jour n8n immédiatement vers la dernière version corrigeant les CVE-2026-27493, CVE-2026-27495, CVE-2026-27497 et CVE-2026-27577.
  • Auditer les credentials stockées dans l’instance et révoquer ou regénérer toutes les clés API et tokens si une compromission est suspectée.
  • Ne jamais exposer une instance n8n directement sur internet sans authentification forte et restriction d’accès réseau stricte.

Comment vérifier si mon instance n8n est exposée et vulnérable ?

Vérifiez si votre instance n8n est accessible depuis internet sans authentification en testant son URL publique. Consultez la page des releases officielles n8n sur GitHub pour identifier la version corrigeant ces CVE et comparez-la à votre version actuelle. En cas de doute, isolez l’instance du réseau public immédiatement et procédez à la mise à jour avant de la réexposer.

Besoin d’un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact