Oui, certaines versions de n8n (1.65 à 1.120.4) sont vulnérables à une faille critique permettant un accès non autorisé via des workflows spécifiques. Ce guide vous explique comment identifier et corriger ce risque majeur sans perdre une minute.
3 principaux points à retenir.
- Identifiez si votre instance utilise un workflow avec Form Submission trigger et Form Ending node retournant un fichier binaire.
- Mettez à jour impérativement votre n8n vers la version 1.121.0 ou supérieure pour colmater la faille.
- Vérifiez vos workflows avec l’outil officiel de scan pour éviter toute exposition non détectée.
Quelle est la nature de la faille dans n8n versions 1.65-1.120.4
La faille de sécurité dans les versions n8n 1.65 à 1.120.4 est d’une gravité alarmante, et il est crucial que vous compreniez son fonctionnement. Cette vulnérabilité découle d’une mauvaise validation des entrées dans certains workflows, spécifiquement ceux utilisant un déclencheur Form Submission associé à un nœud de fin retournant un fichier binaire. Imaginez un instant un attaquant non authentifié pouvant accéder à votre système de fichiers sous-jacent. Cela signifie qu’il pourrait potentiellement voir des données sensibles, voire les manipuler, ouvrant ainsi la porte à une escalade de privilèges dans votre instance n8n.
Cette vulnérabilité est particulièrement préoccupante pour les instances auto-hébergées fonctionnant avec cette configuration de workflow. Si vous êtes sur une version 2.x, rassurez-vous, vous êtes hors de danger car cette faille ne vous concerne pas. En revanche, si vous êtes sur les versions 1.65 à 1.120.4, vous devez agir rapidement pour éviter des conséquences désastreuses.
Les implications de cette faille sont énormes. Un attaquant ayant accès à un formulaire vulnérable pourrait exploiter cette faille pour obtenir des droits d’accès non autorisés à des informations sensibles. Cela pourrait aller jusqu’à compromettre l’intégrité de votre système. Pour une compréhension plus approfondie, vous pouvez consulter cet article qui détaille les risques associés à cette vulnérabilité : Korben.
Il est impératif de prendre cette question de sécurité au sérieux, car ignorer cette faille pourrait avoir des répercussions sur l’ensemble de votre infrastructure. La sécurité de vos données et de vos workflows dépend de votre réactivité face à cette menace.
Comment savoir si mon instance n8n est vulnérable ?
Vous vous demandez si votre instance n8n est vulnérable ? La réponse est simple : elle l’est uniquement si vous êtes sur une version comprise entre 1.65 et 1.120.4 et que vous avez un workflow actif contenant à la fois un trigger ‘Form Submission’ et un nœud de fin qui retourne un fichier binaire. C’est précis, et c’est tout ce qu’il vous faut savoir.
Pour vérifier cela, n8n met à votre disposition un outil de scan officiel. Vous pouvez importer le template de workflow fourni par l’équipe n8n pour détecter automatiquement les workflows à risque. Voici le lien pour accéder à ce template : Template de workflow. Une fois que vous l’avez importé, exécutez-le et observez les résultats.
Interprétez les résultats du scan avec attention. S’il signale des workflows vulnérables, il est impératif d’agir immédiatement. Cela signifie mettre à jour votre instance n8n vers la version 1.121.0 ou une version ultérieure. Ne sous-estimez pas le risque : même si vous êtes sur une instance cloud, où la mise à jour est automatique, restez vigilant. Les incidents de sécurité peuvent se produire, et il est toujours bon de vérifier que votre instance est bien sécurisée.
En cas de doute ou si vous souhaitez plus d’informations sur la gestion des failles critiques, consultez cet article : La plateforme n8n à nouveau victime de failles critiques.
Rester informé et proactif est le meilleur moyen de protéger vos données et vos workflows. Ne laissez pas une vulnérabilité passer inaperçue, car la sécurité de votre instance n8n en dépend.
Quelle est la procédure pour corriger cette faille de sécurité ?
Pour corriger la faille de sécurité critique affectant votre instance n8n, la procédure est simple mais urgente. Si vous utilisez une version comprise entre 1.65 et 1.120.4, vous devez immédiatement mettre à jour vers la version 1.121.0 ou une version ultérieure. Cette mise à jour contient les correctifs nécessaires pour sécuriser votre instance.
Pour procéder à la mise à jour de votre instance auto-hébergée, suivez ces étapes :
- Accédez à votre serveur où n8n est installé.
- Exécutez la commande suivante pour mettre à jour n8n :
npm install n8n@latest
Si vous êtes déjà sur une version 2.x, pas de panique, vous êtes déjà protégé car ces versions intègrent le correctif. Pour les clients utilisant des instances cloud, la mise à jour a été effectuée automatiquement, garantissant ainsi votre sécurité.
En attendant la mise à jour, il est crucial de gérer les workflows à risque. Identifiez ceux qui utilisent un Form Submission trigger et un Form Ending node retournant un fichier binaire. Si possible, désactivez ces workflows jusqu’à ce que vous ayez effectué la mise à jour.
Pour vous aider, voici un tableau récapitulatif :
| Version | Vulnérabilité | Action recommandée |
|---|---|---|
| 1.65 – 1.120.4 | Critique | Mettre à jour vers 1.121.0 ou plus récent |
| 2.x | Aucune | Aucune action nécessaire |
| Cloud | Aucune | Aucune action nécessaire |
Pour suivre les mises à jour et les vulnérabilités connues (CVE), consultez régulièrement les ressources officielles. N’oubliez pas que la divulgation responsable est primordiale, et n8n s’engage à maintenir une communication transparente sur les questions de sécurité. Pour plus de détails, vous pouvez également consulter le bulletin de sécurité ici.
Comment prévenir et gérer les risques de sécurité dans n8n à l’avenir ?
Pour sécuriser votre instance n8n contre la faille critique, la première étape consiste à s’assurer que vous utilisez la version la plus récente. Si vous êtes encore sur une version antérieure à la 1.121.0, il est impératif de procéder à la mise à jour immédiatement. Cela vous protégera contre la vulnérabilité qui permettrait à un attaquant non authentifié d’accéder à votre système via des flux de travail mal configurés.
Ensuite, vérifiez vos flux de travail. Si vous avez un flux actif avec un déclencheur de soumission de formulaire et un nœud de fin de formulaire retournant un fichier binaire, vous êtes potentiellement vulnérable. Dans ce cas, il est essentiel de modifier ou de supprimer ces flux avant de procéder à la mise à jour.
Pour une sécurité renforcée, adoptez une approche proactive. Voici quelques conseils pratiques :
- Mises à jour régulières : Ne vous contentez pas d’une seule mise à jour. Assurez-vous de suivre les mises à jour de sécurité sur les canaux officiels de n8n, notamment les avis de sécurité sur GitHub et les notes de version.
- Audit des workflows : Passez en revue vos flux de travail pour identifier les configurations vulnérables. Utilisez des outils de scan pour détecter les problèmes potentiels.
- Limitation des accès : Évitez les accès non authentifiés à vos instances. Configurez des contrôles d’accès stricts pour limiter les utilisateurs aux seules fonctionnalités nécessaires.
- Conception sécurisée : Lors de la création de nouveaux workflows, évitez de retourner des fichiers binaires non sécurisés. Cela réduit considérablement les risques d’exploitation.
Enfin, une bonne gouvernance IT autour de n8n est essentielle. Assurez-vous que votre équipe est formée aux meilleures pratiques de sécurité et qu’elle reste informée des menaces potentielles. En intégrant la sécurité dès le départ dans vos processus de développement, vous minimisez les risques et renforcez la résilience de votre instance n8n.
Pour en savoir plus sur les pratiques de sécurité, vous pouvez consulter cet article sur LinkedIn.
Votre n8n est-il enfin à l’abri de cette faille critique ?
La faille de sécurité découverte dans n8n versions 1.65 à 1.120.4 est un sérieux rappel qu’aucune plateforme n’est à l’abri. En identifiant précisément les workflows vulnérables et en appliquant sans délai la mise à jour 1.121.0 ou supérieure, vous protégez vos données sensibles et évitez une escalade de privilèges potentiellement dévastatrice. Cette vigilance est d’autant plus cruciale que les attaques automatisées ne tarderont pas à cibler les instances non corrigées. En intégrant les bonnes pratiques de sécurité et en suivant les annonces officielles, vous sécurisez durablement votre écosystème n8n et conservez la maîtrise de vos automatisations.
FAQ
Comment savoir si ma version de n8n est vulnérable ?
Les versions cloud sont-elles concernées ?
Que faire si je suis en version vulnérable ?
Quels risques cette faille fait-elle courir ?
Comment suivre les futures mises à jour de sécurité n8n ?
A propos de l’auteur
Franck Scandolera, expert reconnu en automatisation et intégration IA, accompagne depuis plus de 10 ans des entreprises dans la sécurisation et l’optimisation de leurs workflows métiers. Consultant et formateur, il maîtrise particulièrement les plateformes comme n8n pour déployer des solutions robustes et sûres. Basé à Brive‑la‑Gaillarde, Franck partage son expertise en Analytics, Data et IA à travers ses interventions en France, Suisse et Belgique.
⭐ Analytics engineer, Data Analyst et Automatisation IA indépendant ⭐
- Ref clients : Logis Hôtel, Yelloh Village, BazarChic, Fédération Football Français, Texdecor…
Mon terrain de jeu :
- Data Analyst & Analytics engineering : tracking avancé (GTM server, e-commerce, CAPI, RGPD), entrepôt de données (BigQuery, Snowflake, PostgreSQL, ClickHouse), modèles (Airflow, dbt, Dataform), dashboards décisionnels (Looker, Power BI, Metabase, SQL, Python).
- Automatisation IA des taches Data, Marketing, RH, compta etc : conception de workflows intelligents robustes (n8n, App Script, scraping) connectés aux API de vos outils et LLM (OpenAI, Mistral, Claude…).
- Engineering IA pour créer des applications et agent IA sur mesure : intégration de LLM (OpenAI, Mistral…), RAG, assistants métier, génération de documents complexes, APIs, backends Node.js/Python.