Plateforme
nodejs
Composant
n8n
Corrigé dans
1.123.28
2.0.1
2.14.1
2.14.1
La vulnérabilité CVE-2026-33660 est une faille d'exécution de code à distance (RCE) affectant n8n, une plateforme d'automatisation des workflows. Un utilisateur authentifié disposant des permissions nécessaires peut exploiter cette faille pour lire des fichiers locaux sur le serveur n8n et potentiellement exécuter du code malveillant. Cette vulnérabilité touche les versions de n8n inférieures ou égales à 2.14.0 et a été corrigée dans les versions 2.14.1, 2.13.3 et 1.123.27.
Cette vulnérabilité permet à un attaquant authentifié, ayant la permission de créer ou de modifier des workflows, de compromettre l'instance n8n. L'exploitation se fait via le nœud "Merge" et son mode "Combine by SQL". Le sandbox AlaSQL, utilisé par n8n, ne restreint pas suffisamment certaines requêtes SQL, permettant ainsi à l'attaquant de lire des fichiers sensibles sur le serveur. Dans le pire des cas, cela peut mener à l'exécution de code arbitraire sur le serveur, compromettant ainsi l'intégrité et la confidentialité des données. L'attaquant pourrait potentiellement accéder à des informations sensibles stockées sur le serveur, modifier des workflows existants, ou même prendre le contrôle complet de l'instance n8n.
Cette vulnérabilité a été publiée le 2026-03-25. Il n'y a pas d'indication d'une présence sur le KEV de CISA ni d'un score EPSS disponible. Aucun proof-of-concept public n'est connu à ce jour, mais la gravité critique de la vulnérabilité suggère qu'elle pourrait être rapidement exploitée si elle est découverte par des acteurs malveillants. Il est donc important d'appliquer les correctifs dès que possible.
Organizations heavily reliant on n8n for workflow automation, particularly those with complex workflows involving data merging and SQL operations, are at significant risk. Shared hosting environments where multiple users have access to n8n instances are also vulnerable, as a compromised user could potentially exploit this vulnerability to impact other users on the same server.
• nodejs / server:
ps aux | grep n8n• nodejs / server:
journalctl -u n8n -f | grep "AlaSQL sandbox"• generic web:
curl -I http://your-n8n-instance/ | grep Serverdisclosure
Statut de l'Exploit
EPSS
0.07% (percentile 22%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à jour n8n vers une version corrigée, à savoir 2.14.1, 2.13.3 ou 1.123.27. Si une mise à jour immédiate n'est pas possible, une solution de contournement consiste à restreindre les permissions des utilisateurs afin qu'ils n'aient pas la possibilité de créer ou de modifier des workflows. Il est également recommandé de surveiller attentivement les logs d'accès et d'erreurs pour détecter toute activité suspecte. Bien qu'il n'y ait pas de signature Sigma ou YARA spécifique disponible, une analyse des requêtes SQL exécutées par le nœud Merge pourrait révéler des tentatives d'exploitation. Après la mise à jour, vérifiez l'intégrité des fichiers du système n8n et assurez-vous que le nœud Merge ne permet plus l'exécution de requêtes SQL malveillantes.
Mettez à jour n8n vers la version 2.14.1, 2.13.3 ou 1.123.26, ou une version ultérieure. Si la mise à jour n'est pas possible immédiatement, limitez les autorisations de création et de modification de flux de travail aux seuls utilisateurs de confiance, ou désactivez le nœud Merge en ajoutant `n8n-nodes-base.merge` à la variable d'environnement `NODES_EXCLUDE`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33660 is a critical Remote Code Execution vulnerability in n8n workflow automation software, allowing authenticated users to execute arbitrary code.
You are affected if you are using n8n versions 2.14.0 or earlier. Upgrade to 2.14.1, 2.13.3, or 1.123.27 to resolve the issue.
Upgrade to n8n version 2.14.1, 2.13.3, or 1.123.27. As a temporary workaround, restrict user permissions and carefully review SQL queries.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation.
Refer to the official n8n security advisory on their website or GitHub repository for detailed information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.