En bref

  • CVE-2025-68613 (CVSS 9,9) dans n8n — RCE authentifiée inscrite au catalogue CISA KEV le 11 mars 2026.
  • 24 700 instances n8n non corrigées exposées sur Internet, dont 7 800 en Europe.
  • Correctif disponible : mettre à jour vers n8n ≥ 1.122.0 avant le 25 mars 2026.

Les faits

La CISA (Cybersecurity and Infrastructure Security Agency) a inscrit le 11 mars 2026 la vulnérabilité CVE-2025-68613 dans son catalogue des vulnérabilités exploitées connues (Known Exploited Vulnerabilities, KEV), confirmant une exploitation active en conditions réelles. Cette faille critique, notée CVSS 9,9, affecte n8n, une plateforme d'automatisation de workflows open-source massivement déployée dans les environnements DevOps, MLOps et intégrations no-code. Sa popularité tient à sa capacité à interconnecter des centaines d'APIs tierces, des bases de données et des services d'intelligence artificielle, lui conférant par nature des privilèges étendus sur des systèmes critiques. La vulnérabilité réside dans le moteur d'évaluation des expressions de workflow : n8n évalue dynamiquement des expressions fournies par l'utilisateur sans contrôle suffisant des ressources de code managé, permettant à un attaquant authentifié d'injecter et d'exécuter du code arbitraire avec les droits du processus n8n. Une seconde faille, CVE-2026-27577 (CVSS 9,4), portant sur le même composant, a été divulguée peu après par Pillar Security, renforçant l'urgence de la mise à jour. Le correctif a été publié en décembre 2025 dans les versions 1.120.4, 1.121.1 et 1.122.0, mais les données de télémétrie de début février 2026 indiquent que plus de 24 700 instances demeurent non corrigées et accessibles depuis Internet — environ 12 300 en Amérique du Nord et 7 800 en Europe. C'est la première vulnérabilité n8n jamais inscrite au catalogue KEV, signal fort que les acteurs malveillants ciblent désormais les plateformes d'automatisation comme vecteurs d'intrusion initiale.

  • Contexte et chronologie des événements
  • Impact sur l'écosystème cybersécurité
  • Leçons apprises et recommandations
  • Perspectives et évolutions attendues

Sous la Binding Operational Directive BOD 22-01, les agences civiles fédérales américaines (FCEB) disposent jusqu'au 25 mars 2026 pour appliquer le correctif. Des exploits publics circulent depuis la divulgation, ne requérant qu'un compte utilisateur valide. Cette tendance à cibler les outils d'automatisation rejoint celle observée sur d'autres plateformes IA exploitées en moins de 20 heures après divulgation. Les organisations soumises à NIS2 ou DORA doivent prioriser ce vecteur : une instance n8n compromise donne accès à tous les secrets et credentials configurés dans les workflows, offrant un pivot vers l'ensemble de l'infrastructure connectée. La base NVD confirme le périmètre d'impact et les vecteurs d'exploitation détaillés.

Recommandations

  • Mettre à jour n8n vers la version 1.122.0 ou supérieure — disponible sur npm, Docker Hub et self-hosted. Vérifier auprès des fournisseurs cloud (Railway, Render, etc.).
  • Restreindre l'accès à l'interface n8n — placer les instances derrière un reverse proxy avec authentification forte (MFA), bloquer l'exposition directe sur Internet.
  • Effectuer une rotation complète des secrets — tous les tokens API, mots de passe et clés SSH intégrés dans les workflows d'une instance potentiellement exposée doivent être régénérés.
  • Surveiller les connexions sortantes suspectes — chercher des connexions vers des webhooks ou services de callback inconnus initiées par le processus n8n depuis décembre 2025.

Comment savoir si notre instance n8n a été compromise via CVE-2025-68613 ?

Auditez les logs applicatifs n8n pour des exécutions de workflows non planifiées ou des expressions inhabituelles. Cherchez des connexions sortantes anormales dans les logs réseau. Vérifiez l'intégrité des workflows existants — des modifications non autorisées constituent un indicateur fort de compromission. Auditez les accès aux secrets depuis décembre 2025, date de publication du correctif. Si des anomalies sont détectées, traitez l'incident comme une compromission avérée et procédez à une rotation complète des secrets.

Comment savoir si mon système est vulnérable à CVE-2025-68613 ?

Pour déterminer votre exposition, inventoriez toutes les instances de n8n dans votre environnement, y compris les versions utilisées. Comparez-les aux versions affectées dans l'avis officiel du fournisseur. Les outils de vulnerability scanning comme Tenable Nessus, Qualys ou OpenVAS proposent généralement des plugins de détection dans les 24-48h suivant la publication d'un CVE critique. Un scan ciblé sur le port et le service concerné permet de confirmer l'exposition.

Que faire si le patch ne peut pas être appliqué immédiatement ?

En cas d'impossibilité de patcher rapidement, plusieurs mesures de mitigation permettent de réduire le risque : isoler les systèmes vulnérables derrière un pare-feu applicatif (WAF), restreindre les accès réseau au strict nécessaire, désactiver les fonctionnalités exposées si possible, et renforcer la surveillance des logs pour détecter toute tentative d'exploitation. Un plan de patch d'urgence doit être déclenché dans les 72h suivant la confirmation de l'exploitation active.

Est-ce que CVE-2025-68613 est activement exploitée dans des attaques réelles ?

Oui — les preuves d'exploitation active ont été confirmées. Des groupes de ransomware et d'APT ont intégré ce vecteur dans leurs chaînes d'attaque. L'exploitation active signifie que le risque n'est plus théorique : toute organisation exposée doit traiter ce correctif comme une priorité absolue indépendamment de ses cycles de maintenance habituels. Consulter le catalogue CISA KEV pour suivre l'état d'exploitation confirmée.

Points clés à retenir

  • CVE-2025-68613 dans n8n est inscrite au catalogue KEV CISA — deadline de remédiation : 25 mars 2026 pour les entités fédérales américaines
  • 24 700 instances n8n accessibles en ligne sont potentiellement vulnérables à cette RCE critique CVSS 9,9
  • Les plateformes d'automatisation low-code/no-code représentent une surface d'attaque croissante et sous-évaluée
  • Les accès aux secrets configurés dans n8n doivent être audités dès la confirmation de l'exposition — rotation complète si anomalie détectée
  • Déployer le correctif disponible immédiatement ; en cas d'impossibilité, isoler l'instance du réseau et appliquer le principe de moindre exposition

Ressources complémentaires sur la gestion des vulnérabilités

Article suivant recommandé

Navia Benefit Solutions : 2,7M dossiers santé exposés →

Navia Benefit Solutions a notifié le 18 mars 2026 une violation de données touchant 2,7 millions de personnes. Des attaq

Sources et références

Conclusion

Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.

Besoin d'un accompagnement expert en cybersécurité ? Contactez Ayi NEDJIMI Consultants pour un audit personnalisé de votre infrastructure.

Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.