n8n - CVE-2026-25049
Date de publication :
Une vulnérabilité à cause d'un contrôle insuffisant du code dynamique évalué dans les paramètres de workflow affectant l’évaluation des expressions. Elle permet à un utilisateur authentifié disposant des droits de création ou de modification de workflows d’exécuter des commandes système arbitraires sur l’hôte exécutant n8n.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Exécution de code arbitraire
Exploitation
La vulnérabilité exploitée est du type
CWE-913: Improper Control of Dynamically-Managed Code Resources
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• n8n versions antérieures à 1.123.17,
• n8n versions antérieures à 2.5.2.
Contournement provisoire
Dans l’attente du déploiement des correctifs, les mesures temporaires suivantes peuvent être mises en œuvre :
• Restreindre strictement les droits de création et de modification de workflows aux utilisateurs pleinement de confiance.
• Déployer n8n dans un environnement durci avec des privilèges système et des accès réseau limités.
Solutions ou recommandations
• n8n versions 1.123.17 et supérieures,
• n8n versions 2.5.2 et supérieures.