Netcrook Logo
👤 SECPULSE
🗓️ 08 Jan 2026  

« Ni8mare » sur le Workflow : une vulnérabilité n8n remet les clés du château aux attaquants

Une faille critique dans la populaire plateforme d’automatisation n8n expose des milliers d’organisations à une compromission totale du système, sans solution officielle en vue.

À la croisée de la commodité et de la catastrophe, une simple négligence dans le code a transformé n8n - chouchou de l’automatisation des workflows - en une porte potentiellement grande ouverte pour les attaquants du monde entier. Lorsque le chercheur en sécurité Dor Attias a baptisé la vulnérabilité nouvellement découverte « Ni8mare », ce n’était pas une exagération. Pour des milliers d’entreprises qui comptent sur les intégrations transparentes de n8n, le cauchemar est bien réel : leur outil d’automatisation le plus fiable pourrait devenir le vecteur d’une brèche dévastatrice.

Anatomie d’une Catastrophe

Le bug, suivi sous le nom CVE-2026-21858, se cachait dans la logique des webhooks et de la gestion des fichiers de n8n - un carrefour critique pour toute plateforme d’automatisation. À la racine de la faille : une « confusion de Content-Type ». Lorsque des attaquants manipulaient le processus de téléversement de fichiers, le backend de n8n ne vérifiait pas le type du contenu envoyé, faisant aveuglément confiance à ce qui lui était transmis. En exploitant cette confiance, les attaquants pouvaient ordonner à n8n de copier n’importe quel fichier du serveur dans un workflow, contournant totalement l’authentification.

Dans une démonstration qui a glacé la communauté cybersécurité, Attias a intercepté une requête HTTP lors du téléversement d’un fichier via le nœud Formulaire de n8n. Avec une simple modification du type de contenu et un corps de requête soigneusement conçu, il a forcé n8n à charger le fichier interne de mots de passe du serveur - un acte qui, s’il était réalisé par un attaquant, signifierait une compromission instantanée.

Les implications sont vertigineuses. Avec l’accès à la base de données interne et aux fichiers de configuration de n8n, un attaquant peut fabriquer un cookie de session pour se faire passer pour un administrateur. Dès lors, les puissants outils d’automatisation de la plateforme deviennent des armes : de nouveaux workflows peuvent être créés pour exécuter des commandes arbitraires, siphonner des données sensibles ou s’infiltrer plus profondément dans les systèmes connectés. Étant donné la portée de n8n - reliant Google Drive, Salesforce, des processeurs de paiement, des pipelines CI/CD, et plus encore - le rayon d’impact d’une seule instance compromise est immense.

Pire encore, il n’existe aucune solution de contournement officielle. Comme l’indique l’avis de n8n, les utilisateurs doivent passer immédiatement à la version 1.121.0. Les mesures temporaires, telles que la restriction des endpoints publics de webhooks et de formulaires, ne sont que des palliatifs. Les détails techniques étant désormais publics, la course est lancée entre défenseurs et attaquants potentiels.

Réflexions après la Brèche

Le bug « Ni8mare » rappelle brutalement les risques en cascade de notre monde numérique interconnecté. Les outils d’automatisation comme n8n sont censés simplifier le business - mais une seule vulnérabilité peut les transformer en tremplins idéaux pour les attaquants. Pour les organisations, la vigilance n’est plus une option ; appliquer les correctifs n’est pas qu’une bonne pratique, c’est une question de survie. La prochaine fois que vos workflows s’exécutent sans accroc, souvenez-vous : en coulisses, c’est la sécurité qui tient le cauchemar à distance.

WIKICROOK

  • Contenu : En cybersécurité, le contenu désigne les données présentes dans les fichiers ou communications, comme le texte ou les images, qui peuvent être ciblées par des menaces ou nécessiter une protection.
  • Webhook : Un webhook est un moyen pour un logiciel d’envoyer instantanément des données ou des alertes à l’adresse web d’une autre application lors d’événements spécifiques.
  • CVSS : Le CVSS (Common Vulnerability Scoring System) est une méthode standard pour évaluer la gravité des failles de sécurité, avec des scores de 0,0 à 10,0.
  • Cookie de session : Un cookie de session est un fichier temporaire dans votre navigateur qui vous maintient connecté à un site ; s’il est volé, il peut permettre à d’autres d’accéder à votre compte.
  • Pipeline CI/CD : Un pipeline CI/CD automatise les tests et le déploiement du code, permettant aux développeurs de livrer des mises à jour logicielles rapidement, de manière fiable et avec moins d’erreurs.
n8n vulnerability cybersecurity automation tools
SECPULSE SECPULSE
SOC Detection Lead
← Back to news