La faille critique dans n8n versions 1.65 à 1.120.4 permet un accès non authentifié au système via certains workflows. Mettre à jour vers la version 1.121.0 est impératif pour éviter l’exposition de vos données et escalade de privilèges.
3 principaux points à retenir.
- Identifiez si votre instance est vulnérable en vérifiant les workflows avec déclencheur formulaire et nœud de sortie binaire.
- Mettez à jour immédiatement vers n8n 1.121.0 ou supérieure pour neutraliser la faille.
- Surveillez régulièrement les notes de version et alertes de sécurité via GitHub et le programme de divulgation responsable de n8n.
Quelle est la nature de la faille dans n8n versions 1.65 à 1.120.4
La faille de sécurité récemment identifiée dans les versions n8n allant de 1.65 à 1.120.4 repose sur un défaut de validation d’entrée dans certains workflows. Plus précisément, elle concerne les workflows qui utilisent un déclencheur Form Submission associé à un nœud de sortie qui retourne un fichier binaire. Cela peut sembler technique, mais décomposons cela.
Imaginez que vous avez un formulaire en ligne qui permet aux utilisateurs de soumettre des données. Lorsque ce formulaire est soumis, il déclenche un processus automatisé dans n8n. Si votre workflow est mal configuré, un attaquant non authentifié peut exploiter cette faille pour accéder à votre système de fichiers sous-jacent. En d’autres termes, il pourrait potentiellement lire des fichiers sensibles qui ne devraient pas être accessibles.
Cette vulnérabilité est particulièrement préoccupante car elle permet une escalade de privilèges. Un attaquant pourrait non seulement accéder à des informations sensibles, mais il pourrait également manipuler le système d’une manière qui pourrait compromettre davantage votre instance n8n. En gros, c’est comme laisser une porte dérobée ouverte dans votre maison. Vous pensez être en sécurité, mais un intrus a un accès facile.
Pour vous donner un exemple concret, imaginez un workflow où un utilisateur soumet un fichier via un formulaire. Si ce workflow est mal configuré, un attaquant pourrait soumettre un fichier malveillant qui, une fois traité, pourrait permettre l’accès au système de fichiers de votre serveur. Cela pourrait exposer des données critiques, comme des informations client ou des configurations de système. Vous pouvez consulter plus de détails à ce sujet sur ce lien.
En résumé, cette faille est spécifique aux instances auto-hébergées utilisant ces types de workflows. Si vous êtes concerné, il est impératif d’agir rapidement pour sécuriser votre instance avant que des dommages ne surviennent.
Qui est concerné et quels sont les risques réels pour votre instance
Qui est concerné par cette faille critique ? La réponse est simple : uniquement les utilisateurs auto-hébergés de n8n qui fonctionnent avec les versions 1.65 à 1.120.4. Plus précisément, cela concerne ceux qui ont des workflows actifs utilisant un déclencheur de soumission de formulaire et un nœud de fin de formulaire retournant un fichier binaire. Si vous êtes dans cette situation, il est impératif de rester vigilant. En revanche, si vous utilisez la version 1.121.0 ou supérieure, ou toute version 2.x, vous pouvez respirer un peu plus facilement, car vous n’êtes pas concerné par cette vulnérabilité.
Maintenant, parlons des risques réels. Si cette vulnérabilité est exploitée, un attaquant non authentifié pourrait accéder à des fichiers sensibles stockés sur votre instance. Imaginez un instant que des données critiques de votre entreprise soient exposées, ou pire, que l’intégrité de votre instance soit compromise. Les conséquences peuvent aller de l’accès non autorisé à des informations sensibles à une potentielle escalade de privilèges, permettant à un attaquant de prendre le contrôle total de votre système. Cela pourrait entraîner des dégradations de service, des pertes de données, et nuire à votre réputation.
Pour vous aider à visualiser la situation, voici un tableau synthétique comparant les versions vulnérables et sécurisées ainsi que les risques associés :
| Version | Statut | Risques associés |
|---|---|---|
| 1.65 – 1.120.4 | Vulnérable | Accès non autorisé, fuite d’informations, escalade de privilèges |
| 1.121.0 et supérieures | Sécurisée | Aucun risque |
| 2.x | Sécurisée | Aucun risque |
Il est crucial de rester informé et de mettre à jour votre instance n8n si vous êtes concerné. Pour plus d’informations détaillées sur cette vulnérabilité, vous pouvez consulter cet article ici.
Comment vérifier si votre instance est vulnérable et se protéger efficacement
Pour sécuriser votre instance n8n contre la faille critique, il est essentiel d’identifier rapidement les workflows à risque. Si vous utilisez une version vulnérable (1.65-1.120.4), la première chose à faire est d’exécuter un scan de votre instance à l’aide du workflow template fourni par n8n. Cela vous permettra de déceler les workflows qui pourraient exposer vos données à des attaquants.
Pour réaliser ce scan, suivez les étapes suivantes :
- Téléchargez le template de workflow à partir du lien fourni par n8n.
- Importez le workflow dans votre instance n8n.
- Exécutez le workflow et attendez les résultats.
Une fois le scan effectué, il est crucial d’interpréter les résultats. Si des workflows sont identifiés comme vulnérables, vous devez agir sans attendre. La meilleure solution consiste à mettre à jour votre instance vers la version 1.121.0 ou supérieure. Cette version contient les correctifs nécessaires pour résoudre la faille de sécurité. Si vous êtes un client cloud, n’ayez crainte : votre instance sera mise à jour automatiquement dans les prochaines 12 heures.
Pour ceux qui utilisent des versions 2.x (y compris les versions RC/bêta), vous êtes déjà protégés et aucune action n’est requise. Mais que faire si vous êtes encore sur une version vulnérable ? Voici un tableau récapitulatif des étapes à suivre :
| Étape | Action |
|---|---|
| 1 | Exécutez le scan avec le workflow template. |
| 2 | Interprétez les résultats pour identifier les workflows à risque. |
| 3 | Si vulnérable, mettez à jour vers la version 1.121.0 ou supérieure. |
| 4 | Pour les clients cloud, attendez la mise à jour automatique. |
Enfin, pour rester informé des futures alertes de sécurité, il est recommandé de suivre les annonces sur GitHub et de participer au programme de divulgation. Cela vous permettra de garder une longueur d’avance sur les menaces potentielles et de protéger efficacement votre instance n8n. Pour plus de détails sur la sécurité des plateformes d’automatisation, vous pouvez consulter cet article ici.
Votre instance n8n est-elle enfin à l’abri de cette faille ?
Cette vulnérabilité critique dans n8n a exposé un risque réel pour les instances auto-hébergées utilisant certains workflows formulaires. La bonne nouvelle ? Le correctif est disponible depuis la version 1.121.0, et la mise à jour est simple et indispensable. Ne pas agir, c’est laisser la porte ouverte à des attaques pouvant compromettre vos données et votre business. En appliquant rapidement cette mise à jour et en surveillant les prochaines alertes, vous protégez efficacement votre instance et vos workflows. La sécurité n’est pas un luxe, c’est une obligation qui vous garantit la pérennité de vos automatisations.
FAQ
Comment savoir si mon instance n8n est vulnérable ?
Quelle est la solution pour corriger cette faille ?
Les instances cloud sont-elles concernées ?
Pourquoi la faille a-t-elle été annoncée plusieurs mois après le correctif ?
Comment rester informé des futures vulnérabilités n8n ?
A propos de l’auteur
Franck Scandolera, consultant et formateur en Analytics, Data et Automatisation IA, accompagne depuis des années les entreprises dans la sécurisation et l’optimisation de leurs workflows avec n8n. Expert reconnu dans l’intégration des technologies IA dans les processus métier, il partage ses conseils pratiques pour éviter les pièges techniques et garantir la fiabilité des solutions déployées.
⭐ Analytics engineer, Data Analyst et Automatisation IA indépendant ⭐
- Ref clients : Logis Hôtel, Yelloh Village, BazarChic, Fédération Football Français, Texdecor…
Mon terrain de jeu :
- Data Analyst & Analytics engineering : tracking avancé (GTM server, e-commerce, CAPI, RGPD), entrepôt de données (BigQuery, Snowflake, PostgreSQL, ClickHouse), modèles (Airflow, dbt, Dataform), dashboards décisionnels (Looker, Power BI, Metabase, SQL, Python).
- Automatisation IA des taches Data, Marketing, RH, compta etc : conception de workflows intelligents robustes (n8n, App Script, scraping) connectés aux API de vos outils et LLM (OpenAI, Mistral, Claude…).
- Engineering IA pour créer des applications et agent IA sur mesure : intégration de LLM (OpenAI, Mistral…), RAG, assistants métier, génération de documents complexes, APIs, backends Node.js/Python.