n8n - CVE-2025-71380
Date de publication :
Il s'agit d'une vulnérabilité dans le nœud Execute Command de n8n.
n8n est une plateforme d'automatisation de workflows permettant de connecter des applications et des services via des nœuds configurables.
Ce nœud permet à un utilisateur authentifié d'exécuter des commandes arbitraires sur le système hôte exécutant l'instance n8n, sans restriction adaptée des droits d'accès à cette fonctionnalité. L'absence de contrôle d'accès strict sur ce nœud fait qu'un utilisateur disposant d'un compte légitime, ou un attaquant ayant compromis des identifiants valides, peut l'exploiter pour lancer des commandes système sur l'hôte. Cela peut conduire à une exfiltration de données, à une interruption de service, ou à une compromission complète du système.
Elle permet l'exécution de code arbitraire à distance et une atteinte à la confidentialité, à l'intégrité et à la disponibilité des données.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Exécution de code arbitraire (à distance)
Exploitation
CWE-284 : Improper Access Control
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : En attente d’information
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
n8n versions 1.114.4 et antérieures