n8n – CVE-2026-1470 et CVE-2026-0863 : deux nouvelles failles patchées, comment se protéger ?
Deux nouvelles failles de sécurité ont été patchées dans la solution n8n : CVE-2026-1470 et CVE-2026-0863. Le risque : la compromission totale de l’instance n8n pouvant aller jusqu’à de l’exécution de code malveillant sur la machine où n8n est hébergé. Faisons le point.
Les chercheurs de la société JFrog ont fait la découverte de deux nouvelles vulnérabilités dans n8n : CVE-2026-1470 et CVE-2026-0863. Compte tenu de la popularité de n8n et du nombre d’instances déployées à l’échelle mondiale, cela mérite qu’on s’y intéresse.
- CVE-2026-0863 (score CVSS de 8.5 sur 10) : cette faille permet à un utilisateur authentifié de s’extraire du bac à sable (sandbox escape) Python de n8n en détournant le formatage de chaînes et la gestion des exceptions pour exécuter du code arbitraire sur le système hôte. L’impact est plus important en mode d’exécution “Internal”, car il offre un contrôle total sur l’instance, tandis que le mode “External” limite l’exploitation sur un sidecar conteneur.
- CVE-2026-1470 (score CVSS de 9.9 sur 10) : cette faille RCE découle d’une isolation insuffisante du contexte d’exécution lors de l’évaluation des expressions personnalisées par le moteur de n8n (champ “Expression” dans les options des nœuds). Un attaquant authentifié peut injecter des expressions malveillantes qui s’extraient du cadre prévu pour s’exécuter avec les privilèges du processus système n8n.
Vous l’aurez compris, la vulnérabilité CVE-2026-1470 est une faille critique, même si l’attaquant doit être authentifié sur l’instance n8n pour l’exploiter. En effet, il est nécessaire de disposer des permissions pour créer ou modifier un workflow, ce qui implique une authentification préalable.
Toutefois, si un attaquant parvient à exploiter cette vulnérabilité, cela peut mener à une compromission totale de l’instance, permettant l’exfiltration de données sensibles (identifiants, clés API) et le contrôle complet de l’hôte sous-jacent.
“Même avec plusieurs couches de validation, des listes de refus et des contrôles basés sur l’AST en place, des fonctionnalités linguistiques subtiles et des comportements d’exécution peuvent être exploités pour contourner les hypothèses de sécurité.“, expliquent les chercheurs.
Comment protéger n8n de ces deux CVE ?
Il est à noter que les correctifs de sécurité pour ces deux vulnérabilités n’ont pas été introduits au sein des mêmes versions de n8n. Voici un récapitulatif des versions minimales à installer sur vos instances n8n self-hosted pour vous protéger :
| CVE | Patch |
|---|---|
| CVE-2026-0863 | 1.123.14, 2.3.5, et 2.4.2 |
| CVE-2026-1470 | 1.123.17, 2.4.5, et 2.5.1 |
Même si ces vulnérabilités ne sont pas exploitées pour le moment, sachez que la chercheuse Rhoda Smart prévoit de publier un exploit PoC prochainement pour la CVE-2026-0863. Elle a d’ailleurs déjà publié un write-up technique complet au sujet de cette faille.
Enfin, je termine par rappeler que plusieurs vulnérabilités ont été corrigées dans n8n depuis décembre 2025 :