Quelques défaillances de sécurité récemment découvertes sur la plate-forme d'automatisation de workflow N8n peuvent permettre à un attaquant de prendre le plein contrôle des instances vulnérables, d'obtenir des données confidentielles et d'exécuter un code arbitraire sur le serveur hébergeant l'application. Faiblesses enregistrées CVE-2026-1470 et CVE-2026-0863, ont été découverts par des chercheurs de DevSecOps JFrog et démontrent, une fois de plus, combien il est complexe d'isoler en toute sécurité les langages dynamiques dans des environnements restreints.
n8n est un outil open source qui permet de canaliser les applications, les API et les services via un éditeur visuel pour créer des processus automatisés. Sa popularité augmente chaque jour ; par exemple, le paquet npm dépasse le 200 000 téléchargements par semaine, et son écosystème soutient les intégrations avec les services d'intelligence artificielle et les modèles linguistiques. Cette large adoption rend tout échec particulièrement pertinent pour les entreprises qui dépendent d'automatisations internes ou exposées à Internet.
La première vulnérabilité, CVE-2026-1470, est une forme d'échappement de bac à sable dans le moteur JavaScript n8n. Par une gestion inadéquate de la phrase et une validation insuffisante des identifiants de construction, un attaquant ayant la capacité de créer ou de modifier un flux peut faire résoudre un identifiant à la fonction globale Fonction, qui ouvre la porte à l'exécution de code JavaScript arbitraire dans le noeud principal de n8n. Bien que l'authentification soit nécessaire pour exploiter ce vecteur - c'est-à-dire, la permission est nécessaire pour modifier les flux de travail - JFrog souligne que l'échec mérite une note critique (9,9 / 10) parce que les utilisateurs avec des privilèges modérés, qui dans de nombreuses installations ne sont peut-être pas administrateurs, pourraient monter et contrôler l'ensemble de l'infrastructure n8n. Plus de détails techniques sur ce type d'évasions se trouvent dans le rapport de JFrog: Réalisation de l'exécution de code à distance sur n8n via Sandbox Escape.
Le second, CVE-2026-0863, affecte l'environnement Python que n8n peut invoquer comme un processus auxiliaire. Dans ce cas, les chercheurs décrivent une fuite du bac à sable basée sur l'analyse syntaxique du code (AST) qui combine l'introspection à travers les chaînes de format avec un comportement particulier de Python 3.10 + concernant les exceptions et attributs. Cette combinaison vous permet de récupérer l'accès aux bâtiments restreints et les importations, et enfin exécuter des commandes système d'exploitation lorsque Python fonctionne comme un sous-processus dans le noeud principal, ce qui provoque également l'exécution de code à distance au niveau de l'hôte.
Les résultats de JFrog mettent sur la table une leçon récurrente : contenir des langages tels que JavaScript et Python dans des bacs à sable sûrs est extraordinairement difficile. Même les mécanismes qui utilisent des listes de verrouillage, plusieurs couches de validation et de transformations sur l'AST peuvent échouer si toutes les subtilités linguistiques et leurs runtimes ne sont pas prises en considération. Selon les auteurs de l'analyse, les caractéristiques et le comportement du temps de travail peuvent être utilisés pour invalider les hypothèses de sécurité, de sorte que la défense doit être aussi profonde et conservatrice que possible.
n8n patchs lancés pour les deux vulnérabilités; CVE-2026-1470 a été corrigé dans les versions 1.123.17, 2.4.5 et 2.5.1, tandis que CVE-2026-0863 a été corrigé dans 1.123.14, 2.3.5 et 2.4.2. Les utilisateurs qui exploitent des instances auto-organisées doivent mettre à jour les versions ci-dessus ou ultérieures sans délai, car la plate-forme cloud n8n a déjà appliqué les corrections et les instances gérées par le service ne sont pas affectées. Pour vérifier les notes de lancement et confirmer la disponibilité du patch, vous pouvez vérifier le dépôt officiel: n8n Rejets dans GitHub.
La chercheuse Rhoda Smart a publié une analyse technique centrée sur CVE-2026-0863 et a annoncé qu'elle ajouterait une preuve de concept dans son entrée, ce qui accélère souvent la recherche d'exemples non garés par des attaquants opportunistes. Votre explication technique se lit comme suit: CVE-2026-0863: Python sandbox évasion en n8n, et c'est une lecture recommandée pour les administrateurs et les équipes de sécurité qui veulent comprendre le vecteur d'attaque et le valider dans des environnements contrôlés.
Ces incidents ajoutent à des vulnérabilités antérieures qui ont récemment affecté n8n; une défaillance de gravité maximale appelée « Ni8mare » a permis de contrôler à distance les autorités locales sans authentification, et les analyses de masse ont initialement montré des dizaines de milliers de déploiements exposés. Bien que le nombre d'organes concernés ait diminué, Ombreserveur rapporté environ 39 900 cas encore accessibles à la fin du mois de janvier, ce qui reflète la lenteur du taux de stationnement de nombreux exploitants.
Si vous gérez n8n en mode auto-hôte, il est approprié que, en plus de mettre à jour le plus rapidement possible, vous revoyiez les politiques de qui peut créer ou modifier des workflows, selon le réseau afin de minimiser l'impact d'un éventuel engagement, des références rotées et des secrets intégrés dans l'automatisation, et de surveiller les journaux et l'activité inhabituelle dans les nœuds qui exécutent des processus externes. La sauvegarde avant la mise à jour et la validation de nouvelles versions dans les environnements de test permet également d'éviter les interruptions opérationnelles.
En bref, ces vulnérabilités rappellent que la flexibilité des plateformes telles que n8n s'accompagne d'une importante responsabilité opérationnelle : maintenir une infrastructure à jour, appliquer des principes de privilège minimum et surveiller activement l'exposition du public sont des mesures essentielles pour ne pas transformer un outil de productivité en vecteur de risque pour l'organisation.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...