CVE-2025-68613 : Vulnérabilité critique n8n (CVSS 9.9) et Exécution de Code Arbitraire

Aurélien Fontevive

Une faille de sécurité critique affecte la plateforme d’automatisation de workflows n8n, exposant des milliers d’instances à une exécution de code arbitraire. Avec un score CVSS de 9.9, cette vulnérabilité, identifiée CVE-2025-68613, nécessite une action immédiate.

Comprendre la vulnérabilité CVE-2025-68613 dans n8n

La plateforme n8n, outil populaire d’automatisation basé sur Node.js, fait face à une menace sérieuse à la fin de l’année 2025. La faille, CVE-2025-68613, a été rendue publique par les mainteneurs du package npm. Elle permet à un attaquant authentifié de contourner les mécanismes d’isolation.

Le cœur du problème réside dans l’évaluation des expressions. Les expressions fournies par des utilisateurs authentifiés durant la configuration d’un workflow sont évaluées dans un contexte d’exécution qui n’est pas suffisamment isolé du runtime sous-jacent. Cette situation offre une porte d’entrée redoutable.

Un score de sévérité quasi maximum (9.9/10) confirme l’urgence de la situation. Selon les statistiques npm, le package enregistre environ 57 000 téléchargements hebdomadaires. Ce chiffre souligne l’adoption massive de l’outil, augmentant d’autant la surface d’attaque globale.

“An authenticated attacker could abuse this behavior to execute arbitrary code with the privileges of the n8n process.” (Mainteneurs n8n)

Contexte technique de l’attaque

L’exploitation ne nécessite pas de privilèges d’administrateur. Un simple utilisateur ayant la capacité de créer ou de modifier des workflows peut potentiellement déclencher l’attaque. Une fois l’arbitraire code exécuté, l’attaquant gagne un contrôle équivalent à celui du processus n8n lui-même.

Les conséquences d’une exploitation réussie sont multiples :

  • Compromission complète de l’instance : L’attaquant prend le contrôle total du serveur.
  • Accès aux données sensibles : Vols de secrets, clés API, et données métier.
  • Modification des workflows : Sabotage des processus automatisés ou injection de malveillance.
  • Opérations système : Exécution de commandes shell, potentiellement menant à un lateral movement dans l’infrastructure.

Portée de l’impact et analyse de surface d’attaque

L’ampleur de cette vulnérabilité dépasse le cadre du simple code. Elle touche des milliers d’instances déployées dans le monde entier. L’absence d’authentification forte par défaut sur de nombreux déploiements self-hosted aggrave le risque.

Versions affectées et périmètre de sécurité

Il est crucial de identifier précisément les versions vulnérables pour prioriser les mises à jour. Les mainteneurs ont publié un périmètre clair.

CritèreDétails
VulnérabilitéCVE-2025-68613 (Injection de code / RCE)
Score CVSS9.9 (Critique)
Versions impactées0.211.0 et supérieures, jusqu’à 1.120.3
Versions corrigées1.120.4, 1.121.1, 1.122.0
Vecteur d’attaqueAuthentifié (requiert un compte utilisateur)

Géographie et volumétrie des cibles

Selon les données de la plateforme de gestion des surfaces d’attaque Censys, datées du 22 décembre 2025, 103 476 instances sont potentiellement vulnérables. Ce nombre est alarmant.

La répartition géographique des cibles montre une concentration dans les zones économiques majeures, souvent là où la transformation numérique par l’automatisation est la plus avancée. La majorité des instances se trouvent aux États-Unis, en Allemagne, au Brésil, à Singapour et en France. Cette répartition suggère que des entreprises françaises critiques sont potentiellement exposées.

Mesures d’atténuation et procédure de patch

Face à une menace de ce calibre, la réponse doit être structurée et rapide. La sécurité d’une infrastructure automatisée repose sur la réactivité des équipes Ops.

La solution recommandée : Mise à jour immédiate

La seule solution complète reste la mise à jour vers les versions patchées. Les équipes doivent auditer leurs déploiements pour identifier les instances obsolètes.

  1. Audit : Lister tous les conteneurs ou installations n8n actifs.
  2. Vérification : Comparer la version en cours avec la liste des versions sûres (1.120.4, 1.121.1, ou 1.122.0).
  3. Mise à jour : Appliquer le correctif en utilisant le gestionnaire de paquets ou le re-déploiement du conteneur.

Stratégie de mitigation si la mise à jour est impossible

En pratique, il n’est pas toujours possible de patcher immédiatement en production. Dans ce cas, des mesures de mitigation strictes doivent être appliquées pour réduire la surface d’attaque.

  • Restreindre les permissions : Limitez la création et l’édition des workflows aux utilisateurs de confiance absolue. Supprimez les comptes invités ou à faibles privilèges.
  • Durcissement de l’environnement : Déployez n8n avec des privilèges système restreints (principe du moindre privilège). Le processus ne doit pas être exécuté en tant que root.
  • Contrôle réseau : Isoler l’instance n8n du reste du réseau. Appliquez des règles de pare-feu strictes pour limiter les connexions sortantes et entrantes.
  • Surveillance : Activez les logs d’audit pour détecter toute tentative de création ou modification de workflow suspecte.

Contexte de l’automatisation en 2025

L’année 2025 a vu une adoption massive des outils d’automatisation low-code/no-code. Des plateformes comme n8n permettent de connecter des centaines de services. Cette puissance crée un risque systémique.

L’automatisation est l’extension directe de l’infrastructure informatique. Si l’automatisation est compromise, l’infrastructure l’est aussi.

Pourquoi les outils low-code sont-ils une cible privilégiée ?

Les outils d’automatisation agissent souvent comme des “super-utilisateurs”. Ils détiennent des clés API, accèdent aux bases de données et peuvent déclencher des déploiements. Un attaquant contrôlant n8n possède virtuellement les clés du royaume.

De plus, l’exécution dynamique de code (JavaScript) au sein des workflows est une fonctionnalité puissante mais risquée. La faille CVE-2025-68613 exploite justement cette capacité d’exécution dynamique mal sécurisée.

Vérification de la sécurité de vos workflows

Au-delà du patch immédiat, il est temps de revoir vos pratiques de sécurisation des workflows.

Checklist de sécurité pour les administrateurs n8n

  • Mots de passe robustes : Imposer des mots de passe complexes pour tous les comptes utilisateurs.
  • Authentification à deux facteurs (2FA) : Si disponible, activez-la impérativement.
  • Audit des accès : Revoyez régulièrement qui a accès à l’éditeur de workflows.
  • Sandboxing : Si vous utilisez la version communautaire, assurez-vous que l’environnement d’exécution est isolé (Docker est recommandé).

L’importance de l’isolation des secrets

Les workflows n8n manipulent souvent des secrets (clés AWS, tokens Discord, accès BDD). Si un attaquant peut injecter du code, il peut voler ces secrets.

Dans la pratique, nous observons que de nombreuses entreprises stockent les secrets directement dans les nœuds de workflow. Il est préférable d’utiliser les variables d’environnement globales ou un gestionnaire de secrets externe (comme HashiCorp Vault) intégré via n8n. Cela limite l’exposition si un nœud est compromis.

Conclusion : Agir maintenant

La vulnérabilité CVE-2025-68613 n’est pas à prendre à la légère. Avec un score de 9.9 et plus de 100 000 instances potentiellement exposées, elle représente une menace immédiate pour l’écosystème français et international.

L’action recommandée est claire : mettez à jour vers la version 1.120.4, 1.121.1 ou 1.122.0 dès que possible. Si ce n’est pas faisable, appliquez immédiatement les restrictions de permissions et le durcissement réseau.

Ne laissez pas vos outils d’automatisation devenir une porte d’entrée pour des attaquants. La sécurité de vos données et de vos processus en dépend.