L'agence américaine de cybersécurité, CISA a récemment inclus une vulnérabilité critique qui affecte la plate-forme d'automatisation de workflow n8n dans son catalogue de Vulnérabilités exploitées connues (KEV). Il s'agit de la décision attribuée comme CVE-2025-68613, avec un score CVSS de 9,9, ce qui en termes simples permet l'exécution de code à distance par injection dans les expressions du moteur qui évaluent les flux de travail.
n8n est un outil de plus en plus courant pour connecter et automatiser les processus entre les applications : déclencher l'orchestre, transformer les données et déclencher les actions sans avoir à écrire toute la logique manuellement. Cette flexibilité est basée sur un système qui évalue les expressions dynamiques au sein des flux, et c'est précisément à ce moment que la lettre la plus dangereuse a été trouvée: une mauvaise évaluation du code dynamique qui peut être manipulé par un attaquant authentifié pour exécuter des commandes avec les mêmes privilèges du processus n8n.
Les fonctionnaires de N8n ont publié des correctifs en décembre 2025 pour atténuer l'échec (les versions incluant la correction sont, entre autres, 1.120,4, 1.121.1 et 1.122.0). Vous pouvez vérifier les notes et versions officielles dans le dépôt de lancement n8n C'est pas vrai. et l'enregistrement de la CVE CVE.org. Malgré la disponibilité de patchs, la CISA a ajouté cette défaillance à son catalogue KEV parce qu'il y a des signes d'exploitation active, ce qui en fait une priorité de sécurité pour les organisations de toutes sortes.
Qu'un attaquant authentifié peut réaliser une exécution à distance n'est pas un détail mineur : dans le pire des cas, cela vous permet de prendre le contrôle complet d'une instance, voler ou modifier des données, modifier les automatismes pour introduire des comportements malveillants, ou exécuter des opérations au niveau du système. Bien qu'aucun détail technique sur la manière dont il est exploité n'ait été publié à l'heure actuelle, l'inclusion dans la KEV implique souvent des preuves d'utilisation réelle dans les attaques.
L'ampleur du problème est pertinente: Fondation Shadowserver ils montrent qu'il y a des dizaines de milliers d'instances n8n accessibles depuis Internet sans patching - plus de 24 700 début février 2026 - avec une forte concentration en Amérique du Nord et en Europe. Cette exposition publique facilite l'analyse, l'identification et l'exploitation des systèmes vulnérables par les acteurs malveillants.
La situation a également donné lieu à des constatations supplémentaires : Sécurité du pilier a signalé deux défaillances critiques dans le système d'évaluation de l'expression n8n; l'une d'entre elles, enregistrée comme CVE-2026-27577, a été classé comme une explosion supplémentaire liée à la même famille de problèmes. Dans le cas des organismes fédéraux aux États-Unis, il s'agit d'une nuance opérationnelle: les cas n8n de la Direction générale de l'exécutif civil fédéral (DGCEF) doivent être déchiffrés avant 25 mars 2026 conformément Directive opérationnelle contraignante BOD 22-01 sur la gestion de la vulnérabilité.
Si vous administrez n8n ou dépendez d'instances gérées, la recommandation est claire : elle reporte toute complaisance et applique les mises à jour publiées dès que possible. En plus du patch, il convient de prendre des mesures supplémentaires pendant la mise à jour : restreindre l'accès à l'interface web à des plages IP fiables ou via VPN, revoir et renforcer les contrôles d'authentification, faire pivoter les identifiants et les jetons qui pourraient utiliser la plateforme, et surveiller les activités inhabituelles sur les journaux et sur le réseau. La détection précoce de processus inattendus, de connexions sortantes atypiques ou de changements dans les flux de travail peut être la principale indication d'une intrusion.
Toutes les organisations n'ont pas le même risque, mais la combinaison d'un échec avec un score presque maximum, des preuves opérationnelles et des dizaines de milliers d'instances exposées crée un scénario où agir rapidement fait la différence entre un patch et une réponse incidente. Si vous souhaitez suivre de près les alertes officielles, vérifiez la publication de CISA et du catalogue KEV ; pour appliquer des corrections, vérifiez l'historique des versions n8n dans votre dépôt. Gardez vos systèmes à jour et réduisez la surface d'exposition restent les meilleures défenses contre ce type de vulnérabilité.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...