n8n - CVE-2025-71380

Date de publication :

Il s'agit d'une vulnérabilité dans le nœud Execute Command de n8n.

n8n est une plateforme d'automatisation de workflows permettant de connecter des applications et des services via des nœuds configurables.

Ce nœud permet à un utilisateur authentifié d'exécuter des commandes arbitraires sur le système hôte exécutant l'instance n8n, sans restriction adaptée des droits d'accès à cette fonctionnalité. L'absence de contrôle d'accès strict sur ce nœud fait qu'un utilisateur disposant d'un compte légitime, ou un attaquant ayant compromis des identifiants valides, peut l'exploiter pour lancer des commandes système sur l'hôte. Cela peut conduire à une exfiltration de données, à une interruption de service, ou à une compromission complète du système.

Elle permet l'exécution de code arbitraire à distance et une atteinte à la confidentialité, à l'intégrité et à la disponibilité des données.

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Exécution de code arbitraire (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-284 : Improper Access Control

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : En attente d’information

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

n8n versions 1.114.4 et antérieures

Contournement provisoire

Désactiver le nœud Execute Command en définissant la variable d'environnement NODES_EXCLUDE: ["n8n-nodes-base.executeCommand"] avant le démarrage de n8n.

Solutions ou recommandations

Aucun correctif de code n'a été publié à ce jour pour modifier le comportement du nœud Execute Command.