Une faille de sécurité critique découverte dans n8n 🔒
Si tu utilises n8n en self-hosted, cette information te concerne directement. L’équipe n8n a publié le 8 janvier 2026 un avis de sécurité concernant une vulnérabilité critique affectant les versions 1.65 à 1.120.4 de la plateforme d’automatisation.
Cette faille, corrigée dans la version 1.121.0 depuis le 18 novembre 2025, peut potentiellement permettre à un attaquant non authentifié d’accéder à des informations sensibles stockées sur ton système. Si tu n’as pas encore fait la mise à jour, c’est le moment d’agir.
Qu’est-ce qui s’est passé exactement ?
La vulnérabilité concerne les workflows basés sur des formulaires. Plus précisément, elle touche une configuration très spécifique :
- Un workflow actif avec un déclencheur Form Submission qui accepte un élément fichier
- Combiné à un nœud Form Ending qui retourne un fichier binaire
Dans ces conditions précises, une validation d’entrée insuffisante pouvait théoriquement permettre à un attaquant d’obtenir un accès en lecture au système de fichiers sous-jacent.
💡 Point clé : La faille nécessite une configuration très spécifique de workflow. Mais même si tu n’utilises pas cette combinaison exacte, la mise à jour reste fortement recommandée pour des raisons de sécurité générale.
Es-tu concerné par cette faille de sécurité n8n ?
Avant de paniquer, vérifions ensemble ta situation. Voici un tableau récapitulatif pour savoir si tu dois agir :
| Situation | Action requise | Niveau d’urgence |
|---|---|---|
| n8n Cloud | Aucune – mise à jour automatique | ✅ Aucun risque |
| Version 2.x (y compris RC/beta) | Aucune – correctif inclus | ✅ Aucun risque |
| Version 1.121.0 ou supérieure | Aucune – déjà protégé | ✅ Aucun risque |
| Version 1.65 à 1.120.4 | Mise à jour immédiate vers 1.121.0+ | 🔴 Critique |
| Version inférieure à 1.65 | Mise à jour recommandée | 🟡 Conseillé |
Comment vérifier ta version n8n ?
Pour connaître ta version actuelle, connecte-toi à ton instance n8n et regarde en bas à gauche de l’interface. Tu peux aussi exécuter cette commande si tu as accès au terminal :
n8n --versionLes risques potentiels si tu ne fais rien
Ignorer cette mise à jour pourrait avoir des conséquences sérieuses pour ton activité :
- Accès non autorisé aux données sensibles stockées dans ton instance n8n (credentials, données clients, informations d’API)
- Escalade de privilèges potentielle selon ta configuration de déploiement
- Compromission de systèmes connectés si tes workflows interagissent avec d’autres services
⚠️ Pour les entrepreneurs : Tes workflows n8n contiennent probablement des clés API, des tokens d’authentification et des données clients. Une compromission pourrait affecter l’ensemble de ton écosystème d’automatisation.
Comment mettre à jour ton instance n8n self-hosted
Voici les étapes à suivre selon ton mode d’installation :
Mise à jour via Docker (méthode la plus courante)
Si tu utilises Docker, la mise à jour se fait en quelques commandes :
# Arrêter le conteneur actuel
docker stop n8n
# Supprimer l'ancien conteneur
docker rm n8n
# Télécharger la dernière image
docker pull n8nio/n8n:latest
# Relancer avec la nouvelle version
docker run -d --name n8n -p 5678:5678 -v ~/.n8n:/home/node/.n8n n8nio/n8n:latestMise à jour via npm
Pour une installation npm globale :
# Mettre à jour n8n
npm update -g n8n
# Ou installer une version spécifique
npm install -g n8n@1.121.0Après la mise à jour, vérifie que tout fonctionne en testant quelques workflows critiques.
Vérifier si tes workflows sont vulnérables
L’équipe n8n a publié un template de workflow permettant de scanner ton instance à la recherche de configurations potentiellement vulnérables. C’est un excellent moyen de faire un audit rapide.
Ce workflow automatisé analyse tous tes workflows actifs et identifie ceux qui combinent :
- Un trigger Form Submission avec upload de fichier
- Un nœud Form Ending retournant un fichier binaire
Si le scan détecte des workflows à risque, tu pourras les modifier ou les désactiver le temps de la mise à jour.
Bonnes pratiques de sécurité pour n8n
Au-delà de cette mise à jour urgente, voici les pratiques essentielles pour sécuriser ton instance n8n :
| Pratique | Pourquoi c’est important | Difficulté |
|---|---|---|
| Mises à jour régulières | Corriger les failles dès leur découverte | Facile |
| Authentification forte | Empêcher les accès non autorisés | Facile |
| HTTPS obligatoire | Chiffrer les communications | Moyen |
| Restriction IP | Limiter les sources de connexion | Moyen |
| Audit des credentials | Vérifier les accès aux services externes | Moyen |
| Sauvegardes régulières | Récupérer en cas de problème | Facile |
Exécuter un audit de sécurité
n8n propose une fonctionnalité d’audit de sécurité intégrée. Pour la lancer, utilise cette commande :
n8n auditCette commande analyse ta configuration et détecte les problèmes de sécurité courants.
Pourquoi la communication a-t-elle pris du temps ?
Tu te demandes peut-être pourquoi n8n a attendu janvier 2026 pour communiquer publiquement alors que le correctif date de novembre 2025. L’équipe explique avoir suivi une approche de divulgation responsable :
- Laisser le temps aux utilisateurs de mettre à jour avant de rendre la faille publique
- Réduire le risque d’attaques massives qui auraient pu survenir sans correctif disponible
- Permettre une réponse proactive plutôt que réactive
C’est une pratique standard en cybersécurité, même si elle peut sembler contre-intuitive au premier abord.
🔐 Conseil pro : Abonne-toi aux notes de version n8n et surveille les advisories de sécurité sur GitHub pour être informé rapidement des prochaines mises à jour critiques.
Et maintenant, que faire concrètement ?
Voici ton plan d’action en 5 étapes pour sécuriser ton instance n8n :
- Vérifie ta version immédiatement dans l’interface n8n
- Planifie la mise à jour vers 1.121.0 ou supérieur (idéalement dans les 24h)
- Sauvegarde tes données avant toute manipulation
- Exécute la mise à jour selon ta méthode d’installation
- Lance un audit de sécurité pour vérifier ta configuration globale
Si tu découvres l’automatisation avec n8n et que tu n’as pas encore installé la plateforme, c’est l’occasion de partir directement sur la dernière version sécurisée. Notre guide d’installation t’accompagne pas à pas.
Pour ceux qui utilisent n8n en production avec des agents IA, n8n a également publié un guide complet sur les meilleures pratiques de déploiement. Un excellent complément pour renforcer la fiabilité de tes automatisations.
Reste informé des prochaines alertes sécurité
Cette faille nous rappelle l’importance de maintenir ses outils à jour, surtout quand ils sont au cœur de nos processus métier. Chez Ocade Fusion, nous suivons de près l’actualité n8n pour t’informer rapidement des évolutions importantes.
Tu veux approfondir tes compétences n8n et construire des automatisations robustes et sécurisées ? Explore nos ressources sur les nœuds n8n et découvre comment les AI Agents peuvent transformer ton activité, en toute sécurité. 🚀
