Plateforme
nodejs
Composant
n8n
Corrigé dans
1.123.23
2.0.1
2.10.1
1.123.22
Une vulnérabilité d'injection d'expressions de second ordre a été découverte dans les nœuds Form de n8n. Cette faille permet à un attaquant non authentifié d'injecter et d'évaluer des expressions n8n arbitraires en soumettant des données de formulaire spécialement conçues. En cas d'évasion de la sandbox d'expressions, cela peut conduire à une exécution de code à distance sur l'hôte n8n. La version affectée est toute version inférieure à 1.123.22; une mise à jour est disponible.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter cette faille en créant un formulaire avec un champ qui interpole une valeur fournie par un utilisateur non authentifié. Si cette valeur commence par un caractère '=', n8n la traite comme une expression à évaluer. En combinant cette injection avec une évasion de la sandbox d'expressions, un attaquant peut exécuter du code arbitraire sur le serveur n8n. Cela pourrait permettre de compromettre l'ensemble du système, d'accéder à des données sensibles, ou d'utiliser le serveur comme point de pivot pour attaquer d'autres systèmes sur le réseau. Le potentiel d'exécution de code à distance rend cette vulnérabilité particulièrement dangereuse.
Cette vulnérabilité a été rendue publique le 2026-02-25. Il n'y a pas d'indication d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la complexité de la configuration requise pour l'exploitation et de la nécessité d'une évasion de la sandbox. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation.
Organizations heavily reliant on n8n for workflow automation, particularly those with publicly accessible forms or integrations that accept user-provided input, are at significant risk. Environments with legacy n8n configurations or those lacking robust input validation practices are especially vulnerable. Shared hosting environments where multiple users share the same n8n instance also face increased risk due to the potential for cross-tenant exploitation.
• nodejs / server: Monitor n8n logs for unusual expression execution patterns or errors related to expression parsing. Use journalctl -u n8n to filter for relevant log entries.
• nodejs / server: Check for unexpected processes running under the n8n user account using ps aux | grep n8n.
• generic web: Inspect n8n access logs for suspicious requests containing = characters in form parameters, particularly those targeting form submission endpoints. Use curl -v <n8nformendpoint> to test for injection.
• generic web: Review n8n configuration files for any insecure expression handling practices.
disclosure
Statut de l'Exploit
EPSS
0.23% (percentile 46%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour n8n vers la version 1.123.22 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation temporaires peuvent être mises en œuvre. Il est crucial de désactiver ou de restreindre l'utilisation des nœuds Form qui interpolent des valeurs fournies par des utilisateurs non authentifiés. Vérifiez attentivement la configuration des workflows existants pour identifier les instances potentiellement vulnérables. Envisagez de mettre en place une sandbox d'expressions plus stricte pour limiter les capacités d'exécution de code. Après la mise à jour, vérifiez la configuration des workflows et assurez-vous qu'aucun champ ne commence par un caractère '='.
Mettez à jour n8n à la version 2.10.1, 2.9.3, 1.123.22 ou supérieure. Si la mise à jour n'est pas possible immédiatement, examinez manuellement l'utilisation des nœuds de formulaire pour les conditions préalables mentionnées, désactivez le nœud de formulaire en ajoutant `n8n-nodes-base.form` à la variable d'environnement `NODES_EXCLUDE` et/ou désactivez le nœud Form Trigger en ajoutant `n8n-nodes-base.formTrigger` à la variable d'environnement `NODES_EXCLUDE`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-27493 décrit une vulnérabilité d'injection d'expressions critique dans n8n, permettant à un attaquant non authentifié d'exécuter du code arbitraire via des formulaires malveillants.
Vous êtes affecté si vous utilisez une version de n8n inférieure à 1.123.22 et que vos workflows utilisent des nœuds Form avec des champs interpolant des valeurs fournies par des utilisateurs non authentifiés.
Mettez à jour n8n vers la version 1.123.22 ou supérieure. Si la mise à jour n'est pas possible, appliquez des mesures d'atténuation telles que la désactivation des nœuds Form vulnérables.
Bien qu'il n'y ait pas de confirmation d'exploitation active à ce jour, la probabilité d'exploitation est considérée comme moyenne, et des PoC sont susceptibles d'émerger.
Consultez le site web officiel de n8n ou leur page de sécurité pour obtenir les informations les plus récentes sur cette vulnérabilité et les mesures correctives.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.