Vulnérabilité critique dans n8n (CVE-2026-21858)

Résumé

Le 6 janvier 2026, le CVE-2026-21858 a été publié par n8n, suivi peu après par des articles de Dor Attias et Cyera documentant des failles critiques dans l'analyse des requêtes de n8n. Cette vulnérabilité permet à un attaquant non authentifié d'exfiltrer des données sensibles, ce qui peut compromettre complètement le système n8n. Si un système n8n vulnérable est directement connecté à Internet, cela pourrait fournir aux acteurs de la menace un accès initial au réseau interne de l'entreprise.

Au moment de la rédaction de cet article, plusieurs échantillons de preuve de concept (POC) avaient déjà été publiés, ce qui signifie qu'une exploitation généralisée est déjà en cours. N8n avait publié une mise à jour de son logiciel en novembre, et Beazley Security Labs recommande vivement aux utilisateurs de l'adopter et de la déployer immédiatement.

Systèmes et produits concernés

Atténuations et solutions de contournement

N8n n'a fourni aucune recommandation d'atténuation en dehors de l'application des mises à jour logicielles disponibles. Dans la mesure du possible, les systèmes n8n doivent être déployés en interne sans aucune connectivité entrante autorisée depuis Internet.

Patchs

N8n a publié la version 1.121.0 le 18 novembre 2025 qui corrige cette vulnérabilité. Compte tenu de la prolifération des POC et des informations faisant état de cette vulnérabilité, il est vivement conseillé de mettre à jour immédiatement tout déploiement de n8n.

Détails techniques

La vulnérabilité est due à un bogue dans la façon dont n8n analyse les entrées utilisateur provenant des flux de travail, en particulier dans la manière dont la fonction parseRequestBody () gère les valeurs Content-Type. Certains paramètres de contrôle d'entrée peuvent être modifiés de manière malveillante par un acteur malveillant, et les chercheurs de Cyera ont découvert que l'en-tête Content-Type, associé à l'objet req.body.files, peut être utilisé pour empêcher n8n de lire un fichier arbitraire sur le système d'exploitation sous-jacent et de rapporter son contenu à l'attaquant.

Cyera a également démontré que ce fichier arbitraire pouvait être lu et utilisé pour l'exfiltrer :

• la base de données n8n (un fichier sqlite en texte brut), et
• la clé de chiffrement n8n locale (souvent stockée de la même manière pour les déploiements conteneurisés)

Ces deux fichiers fournissent suffisamment de données pour créer des jetons d'authentification valides permettant à un attaquant d'accéder aux administrateurs de n8n. Les administrateurs de N8n peuvent ensuite créer des flux de travail pour exécuter des commandes sur le système hôte.

Comment Beazley Security réagit

Beazley Security surveille les appareils périmétriques des clients via sa plateforme de gestion des expositions afin d'identifier les appareils concernés et d'aider les organisations à remédier à tout problème détecté.

Nous menons également des recherches sur les menaces dans notre environnement MDR afin de détecter les tentatives d'exploitation potentielles contre nos clients.

Si vous pensez que votre organisation a peut-être été touchée par cette campagne d'attaque et a besoin d'assistance, veuillez contacter notre équipe de réponse aux incidents.

Sources

• ‍n8n GitHub : n8n est vulnérable à un accès non authentifié aux fichiers via une gestion incorrecte des requêtes Webhook‍
• Cyera : Ni8mare - Exécution de code à distance non authentifiée dans n8n (CVE-2026-21858)