Une faille critique dans n8n versions 1.65 à 1.120.4 permettait un accès non authentifié au système via certains workflows. La mise à jour en version 1.121.0 est impérative pour sécuriser vos données. Découvrez pourquoi et comment agir vite.
3 principaux points à retenir.
- La faille concerne les workflows avec trigger Form Submission et retour binaire.
- Seules les versions 1.65 à 1.120.4 self-hosted sont vulnérables.
- La mise à jour vers 1.121.0 ou 2.x corrige définitivement ce risque.
Quelles sont les causes exactes de la vulnérabilité dans n8n ?
La vulnérabilité critique qui touche n8n dans les versions 1.65 à 1.120.4 est directement liée à une validation d’entrée insuffisante dans certains workflows. Plus précisément, cela concerne les workflows qui utilisent à la fois un déclencheur Form Submission et un nœud de fin qui retourne un fichier binaire. Ce duo malheureux crée une brèche potentielle que n’importe quel attaquant non authentifié peut exploiter pour accéder au système de fichiers sous-jacent.
Pour comprendre pourquoi cette faille est critique, plongeons dans le mécanisme. Lorsqu’un utilisateur soumet un formulaire, le déclencheur Form Submission active le workflow. Si ce workflow inclut un nœud qui retourne un fichier binaire sans valider correctement les données d’entrée, cela signifie qu’un attaquant peut, dans certaines conditions, manipuler ces entrées. Par exemple, imaginons un scénario où un formulaire permet de télécharger des fichiers. Si ce formulaire n’est pas correctement sécurisé, un attaquant peut soumettre une requête malveillante qui lui donnerait un accès non autorisé à des fichiers sensibles stockés sur le serveur.
Voici un exemple simple de workflow vulnérable :
1. Form Submission Trigger
2. Validate Input (manque de validation)
3. Form Ending Node (retourne un fichier binaire)
Dans ce cas, le manque de validation sur l’étape 2 laisse une porte ouverte. L’attaquant peut exploiter cette faiblesse pour lire des fichiers qui ne devraient pas être accessibles. Le risque ici est non seulement d’exposer des informations sensibles, mais aussi de permettre une escalade de privilèges dans l’instance n8n.
Pour résumer, voici un tableau synthétisant les conditions qui rendent un workflow vulnérable :
- Déclencheur : Form Submission
- Nœud de fin : Retourne un fichier binaire
- Validation : Insuffisante ou absente
- Accès : Non authentifié
En gardant ces éléments à l’esprit, il est crucial de mettre à jour votre instance n8n si vous êtes concerné. Pour plus d’informations sur cette faille, consultez cet article.
Qui est concerné par cette faille et quel est l’impact réel ?
La faille critique qui touche n8n dans les versions 1.65 à 1.120.4 est particulièrement sournoise. Elle concerne les utilisateurs self-hosted qui ont des workflows utilisant un déclencheur de soumission de formulaire et un nœud de fin de formulaire retournant un fichier binaire. En d’autres termes, si vous utilisez n8n pour gérer des flux de travail qui impliquent des formulaires, il y a un risque que votre instance soit compromise.
Pourquoi seuls les utilisateurs self-hosted sont-ils exposés ? La réponse réside dans la configuration de votre instance. Les versions 2.x de n8n, ainsi que les instances cloud, ont déjà reçu les mises à jour de sécurité pertinentes. Cela signifie que si vous avez migré vers une version plus récente ou si vous êtes un client cloud, vous êtes en sécurité. En revanche, les utilisateurs qui continuent à opérer sur les versions vulnérables sans mettre à jour sont laissés dans une position périlleuse.
Les conséquences d’une exploitation réussie de cette vulnérabilité peuvent être graves. D’une part, cela pourrait entraîner une escalade de privilèges au sein de l’instance n8n, permettant à un attaquant d’acquérir des droits d’accès qu’il ne devrait pas avoir. D’autre part, il y a le risque d’accès non autorisé aux données sensibles stockées dans votre instance. Imaginez un scénario où des informations critiques sur vos clients ou votre entreprise se retrouvent entre de mauvaises mains. Cela pourrait avoir des répercussions dévastatrices sur votre réputation et votre activité.
En termes de configurations, les utilisateurs qui ont des workflows mal sécurisés sont particulièrement vulnérables. Par exemple, si vous utilisez n8n pour automatiser des processus de collecte de données via des formulaires, un attaquant pourrait exploiter cette faille pour accéder à des fichiers sur votre système. Cela pose un risque non seulement pour vos données, mais aussi pour l’intégrité de l’ensemble de votre infrastructure.
Pour ceux qui souhaitent approfondir, vous pouvez consulter ce lien sur Reddit qui discute des implications de cette faille. En somme, si vous êtes encore sur une version vulnérable, il est impératif d’agir rapidement pour sécuriser votre instance et éviter d’éventuelles catastrophes. Les mises à jour ne sont pas une option, mais une nécessité.
Comment vérifier et corriger la vulnérabilité sur votre instance n8n ?
Pour savoir si votre instance n8n est touchée par la faille critique, la procédure est simple. Vous devez d’abord vérifier si vous utilisez une version comprise entre 1.65 et 1.120.4. Si c’est le cas, il est crucial d’examiner vos workflows, surtout ceux qui utilisent un déclencheur de soumission de formulaire et un nœud de fin de formulaire qui renvoie un fichier binaire. Ces configurations sont les plus vulnérables et peuvent permettre à un attaquant d’accéder à votre système.
Pour faciliter cette vérification, n8n propose un template de scan. Voici comment l’utiliser :
- Téléchargez le template de scan depuis le forum n8n.
- Importez le template dans votre instance n8n.
- Exécutez le workflow pour analyser vos configurations.
Si le scan révèle des workflows vulnérables, vous devez immédiatement mettre à jour votre instance n8n. Voici les étapes à suivre :
npm install n8n@latestCette commande mettra à jour votre instance vers la version 1.121.0 ou supérieure. Si vous êtes sur une version 2.x, vous n’avez rien à faire, vous êtes déjà protégé.
Pour les utilisateurs cloud, la mise à jour est automatique. Vous n’avez aucune action à entreprendre, car n8n s’occupe de tout pour vous. Vous recevrez une notification lorsque la mise à jour sera effectuée.
En résumé, voici un tableau comparatif des actions à mener selon votre version :
| Version | Action requise |
|---|---|
| 1.65 – 1.120.4 | Mise à jour vers 1.121.0 ou plus |
| 2.x | Aucune action requise |
| Cloud | Mise à jour automatique |
Assurez-vous de suivre ces étapes rapidement pour sécuriser votre instance. Une faille non corrigée peut avoir des conséquences désastreuses, comme l’accès non autorisé à des informations sensibles.
Quelle stratégie de sécurité adopter pour éviter ce type de faille ?
La faille critique touchant n8n versions 1.65-1.120.4 repose sur une vulnérabilité dans la gestion des workflows basés sur des formulaires. En gros, un workflow mal configuré, avec un déclencheur de soumission de formulaire et un nœud de fin de formulaire retournant un fichier binaire, peut permettre à un attaquant distant non authentifié d’accéder à des informations stockées sur le système. Ce scénario est particulièrement dangereux car il pourrait déboucher sur une escalade de privilèges au sein de l’instance n8n et donner accès à des données sensibles.
Ce qui est alarmant, c’est que cette vulnérabilité est le résultat d’une validation d’entrée inappropriée. Cela signifie que les inputs fournis par l’utilisateur n’ont pas été correctement vérifiés avant d’être traités, laissant la porte ouverte à des abus. En d’autres termes, si vous avez un workflow actif avec les conditions mentionnées, vous êtes potentiellement exposé.
Les implications de cette faille sont sérieuses : une exploitation réussie pourrait conduire à la divulgation d’informations sensibles, voire à une compromission totale de l’instance n8n. C’est pourquoi il est impératif de passer à une version corrigée, comme la version 1.121.0, qui a été mise à disposition le 18 novembre 2025. Les utilisateurs de la version 2.x, quant à eux, n’ont pas à s’inquiéter, car ils bénéficient déjà des correctifs nécessaires.
Pour vous protéger, il est essentiel de rester informé des mises à jour et des avis de sécurité. Vous pouvez suivre les notes de mise à jour de n8n et consulter les CVEs sur leur GitHub pour détecter d’éventuelles vulnérabilités. En somme, si vous êtes concerné par cette faille, ne perdez pas de temps à mettre à jour votre instance. La sécurité ne doit jamais être une option, c’est une nécessité.
Faut-il craindre pour la sécurité de vos workflows n8n aujourd’hui ?
La faille détectée dans n8n versions 1.65 à 1.120.4 est sérieuse, mais elle est corrigée depuis la version 1.121.0 et dans toutes les versions 2.x. Si vous êtes en self-hosting, la mise à jour est impérative pour éviter toute compromission. Les utilisateurs cloud sont déjà protégés. Cette alerte souligne surtout l’importance d’une gestion rigoureuse des workflows et des mises à jour. En agissant vite, vous protégez vos données et garantissez la robustesse de vos automatisations. La sécurité n’est jamais un détail, surtout dans un outil aussi critique que n8n.
FAQ
Quelles versions de n8n sont vulnérables à cette faille ?
Comment savoir si mes workflows sont concernés ?
Que faire pour sécuriser mon instance n8n ?
Pourquoi la vulnérabilité a-t-elle été communiquée plusieurs semaines après le patch ?
Comment suivre les futures mises à jour et alertes de sécurité n8n ?
A propos de l’auteur
Franck Scandolera, expert reconnu en Analytics, Data, Automatisation IA et intégration de n8n, accompagne depuis des années des entreprises dans la sécurisation et l’optimisation de leurs workflows. Consultant et formateur, il partage son expérience pour aider les professionnels à maîtriser les risques et tirer le meilleur parti des technologies d’automatisation moderne.
⭐ Expert et formateur en Tracking avancé, Analytics Engineering et Automatisation IA (n8n, Make) ⭐
- Ref clients : Logis Hôtel, Yelloh Village, BazarChic, Fédération Football Français, Texdecor…
Mon terrain de jeu :
- Data & Analytics engineering : tracking propre RGPD, entrepôt de données (GTM server, BigQuery…), modèles (dbt/Dataform), dashboards décisionnels (Looker, SQL, Python).
- Automatisation IA des taches Data, Marketing, RH, compta etc : conception de workflows intelligents robustes (n8n, Make, App Script, scraping) connectés aux API de vos outils et LLM (OpenAI, Mistral, Claude…).
- Engineering IA pour créer des applications et agent IA sur mesure : intégration de LLM (OpenAI, Mistral…), RAG, assistants métier, génération de documents complexes, APIs, backends Node.js/Python.