CVE-2026-25049, c’est le nom de la nouvelle faille de sécurité critique patchée dans n8n. Si un attaquant parvient à l’exploiter, il peut exécuter des commandes arbitraires sur la machine où est hébergé n8n. Comment se protéger ? Voici ce que vous devez savoir.

• Qu’est-ce que n8n ? Comment créer son premier workflow ?

Cette nouvelle vulnérabilité découverte et patchée dans n8n m’amène à vous reparler d’une autre vulnérabilité critique : la CVE-2025-68613, patchée en décembre 2025. En effet, la faille CVE-2026-25049, associée à un score CVSS de 9.4 sur 10, contourne les contrôles apportés par le précédent patch de sécurité.

Résultat, le système d’expression de n8n est de nouveau vulnérable et un attaquant peut en tirer profit pour exécuter du code sur le serveur n8n. “Un utilisateur authentifié disposant des autorisations nécessaires pour créer ou modifier des workflows pourrait exploiter des expressions spécialement conçues dans les paramètres des workflows afin de déclencher l’exécution de commandes système sur l’hôte exécutant n8n.“, précise le bulletin de n8n.

Un rapport publié par SecureLayer7 met en évidence deux scénarios possibles pour l’exploitation :

• Un attaquant authentifié qui dispose des autorisations nécessaires pour créer un workflow,
• Un attaquant non authentifié qui abuse d’un webhook public.

Ce même rapport offre d’ailleurs assez de détails techniques pour savoir comment exploiter cette vulnérabilité.

En exploitant cette vulnérabilité, un attaquant peut exécuter du code à distance sur le serveur, ce qui peut mener à de l’exfiltration de données, au vol d’identifiants et même au déploiement d’une porte dérobée. Compte tenu du rôle de n8n, il y a bien souvent des données croustillantes sur les serveurs…

“Cette vulnérabilité démontre pourquoi plusieurs niveaux de validation sont essentiels. Même si un niveau (les types TypeScript) semble solide, des vérifications supplémentaires à l’exécution sont nécessaires lors du traitement d’entrées non fiables. […] Portez une attention particulière aux fonctions de nettoyage lors de la révision du code, en recherchant les hypothèses sur les types d’entrées qui ne sont pas appliquées lors de l’exécution.“, précise Endor Labs.

Comment se protéger de la CVE-2026-25049 ?

Cette faille de sécurité affecte les versions antérieures à n8n 1.123.17 et n8n 2.5.2, ce qui signifie qu’elle a été patchée dans ces versions. Vous devez donc mettre à jour n8n vers la version 1.123.17 ou la version 2.5.2 pour vous protéger.

Vous pouvez aussi passer sur une version plus récente, car ces versions ont été publiées en janvier 2026, et depuis, il y a déjà eu de nouvelles versions. Du côté de n8n, il me semble qu’une nouvelle version est publiée chaque semaine.

Si vous ne pouvez pas patcher, limitez l’accès à votre instance n8n et limitez la création de workflows à certains utilisateurs spécifiques.

Depuis décembre 2025, les patchs de sécurité s’enchainent pour n8n :

• n8n – CVE-2025-68613
• n8n – CVE-2026-21877
• Ni8mare – CVE-2026-21858
• n8n – CVE-2026-1470 et CVE-2026-0863