En février 2026, n8n a publié deux bulletins de sécurité divulguant un total combiné de 19 vulnérabilités — dont 6 critiques (CVSS 9.4+) et 3 surfaces d’attaque par exécution de code à distance indépendantes. Des agences nationales de cybersécurité — la CSA de Singapour et le CCCS du Canada — ont émis des avis formels.
Ce n’est pas un problème de patching. C’est un problème d’architecture structurelle touchant plusieurs sous-systèmes de n8n.
6 février : La première vague — 8 CVE
Le mois a commencé avec le bulletin du 6 février de n8n divulguant 8 vulnérabilités, dont le RCE d’évaluation d’expressions déjà connu et un nouveau développement critique : CVE-2026-25049 (CVSS 9.4), qui contournait le correctif de décembre 2025 pour le RCE d’injection d’expressions original de CVSS 10.0.
Le contournement a prouvé qu’il ne s’agissait pas d’un bug ponctuel — c’était la preuve d’un défaut de conception fondamental dans le moteur d’évaluation d’expressions de n8n. Les correctifs ponctuels traitent des vecteurs d’attaque spécifiques mais laissent l’architecture sous-jacente vulnérable à de nouvelles techniques d’exploitation.
25 février : 11 CVE supplémentaires — 3 critiques
Trois semaines plus tard, n8n a publié un second bulletin avec 11 vulnérabilités supplémentaires, dont 3 nouveaux problèmes de gravité critique :
| CVE | Gravité | Description |
|---|---|---|
| CVE-2026-27497 | Critique (9.4) | Le mode requête SQL permet l’exécution de code arbitraire sur le serveur n8n |
| CVE-2026-27577 | Critique (9.4) | Évasion du sandbox d’expressions — commandes système via des paramètres manipulés |
| CVE-2026-27495 | Critique (9.4) | Évasion du sandbox du JavaScript task runner — exécution de code arbitraire |
| CVE-2026-27578 | Élevé | XSS stocké |
| CVE-2026-27493 | Élevé | Évaluation d’expressions non authentifiée via le Form Node |
| + 6 autres | Élevé/Moyen | Contournement d’authentification chat, contournement SSO, injection SQL (MySQL/PostgreSQL/MSSQL), falsification de webhook |
Trois vecteurs RCE indépendants en un mois
Le bulletin du 25 février est particulièrement alarmant car il révèle trois chemins complètement indépendants vers l’exécution de code à distance :
-
Évaluation d’expressions — Le sandbox conçu pour évaluer les expressions utilisateur en toute sécurité peut être contourné, permettant l’exécution de commandes système arbitraires. C’est le même sous-système qui a produit le RCE de décembre 2025 et le contournement de février — maintenant avec une nouvelle technique d’évasion.
-
Mode requête SQL — Le moteur d’exécution SQL permet l’exécution de code arbitraire sur le serveur n8n. C’est un sous-système entièrement séparé de l’évaluation d’expressions.
-
JavaScript task runner — L’environnement d’exécution JavaScript sandboxé peut être contourné, permettant l’exécution de code arbitraire. Encore une fois, un sous-système complètement séparé.
Chacun de ces éléments représente une surface d’attaque distincte dans une partie différente de l’architecture de n8n. Patcher l’un ne protège pas contre les autres. Un attaquant n’a besoin d’en trouver qu’un seul.
Réponse des agences nationales de cybersécurité
La gravité des divulgations de février de n8n a provoqué des avis formels des agences nationales de cybersécurité :
- CSA de Singapour (Cyber Security Agency of Singapore) — A émis un avis pour les vulnérabilités n8n
- CCCS du Canada (Canadian Centre for Cyber Security) — A émis un avis pour les vulnérabilités n8n
Quand des gouvernements nationaux émettent des avertissements concernant votre plateforme d’automatisation, l’urgence est claire. Ce sont les mêmes agences qui émettent des avis pour les vulnérabilités d’infrastructures critiques.
Pourquoi le patching ne suffit pas
Le schéma de février raconte une histoire claire :
- 6 février : 8 CVE dont un contournement du correctif de décembre 2025
- 25 février : 11 CVE supplémentaires dans trois sous-systèmes séparés
- Combiné : 19 CVE, 6 critiques, 3 vecteurs RCE indépendants
Ce n’est pas un cas où appliquer le dernier correctif résout le risque. Les vulnérabilités couvrent :
- Le moteur d’évaluation d’expressions
- Le moteur d’exécution SQL
- Le sandbox JavaScript task runner
- Les systèmes d’authentification et SSO
- Les endpoints d’évaluation de formulaires
- Les connecteurs de bases de données (MySQL, PostgreSQL, MSSQL)
- La gestion des webhooks
L’étendue suggère des problèmes de sécurité systémiques au niveau de l’architecture, pas des bugs isolés.
Résumé des CVE de février 2026
| Métrique | Nombre |
|---|---|
| Total des CVE en février 2026 | 19 |
| Gravité critique (CVSS 9.4+) | 6 |
| Vecteurs RCE indépendants | 3 |
| Avis d’agences nationales | 2 (CSA Singapour, CCCS Canada) |
| Rounds de correctifs en février | 2 (6 fév + 25 fév) |
| Instances exposées (Censys) | 26 512 |
Correctifs disponibles : n8n 2.10.1, 2.9.3, 1.123.22. Toutes les instances auto-hébergées doivent être mises à jour immédiatement.
Le chemin de migration
L’assistant d’import n8n de JieGou convertit automatiquement vos exports JSON de workflows n8n en workflows JieGou :
- Exportez vos workflows n8n (Paramètres → Exporter tous les workflows)
- Téléchargez le JSON dans l’assistant d’import de JieGou
- Vérifiez la conversion — plus de 47 mappages de types de nœuds gérés automatiquement
- Déployez avec hébergement managé, zéro patching et infrastructure de conformité prête pour SOC 2
L’outil d’import mappe les nœuds n8n vers les étapes JieGou :
Set / Code / Function→ Étape LLMIF / Switch / Filter→ Étape ConditionSplitInBatches→ Étape BoucleHTTP Request→ LLM + Outil MCPSlack / Gmail / GitHub→ LLM + Serveur MCPWebhook→ Déclencheur Webhook
Comparaison de sécurité
| Dimension | JieGou | n8n |
|---|---|---|
| CVE (fév. 2026) | 0 | 19 au total, 6 critiques |
| Vecteurs RCE | N/A | 3 indépendants |
| Avis gouvernementaux | Aucun nécessaire | CSA Singapour, CCCS Canada |
| Instances exposées | N/A (cloud + VPC) | 26 512 |
| SOC 2 | Tech complète, 15 politiques, audit en cours | Non disponible |
| Chiffrement au repos | AES-256-GCM (BYOK) | Non inclus (communauté) |
| RBAC | 6 rôles, 20 permissions | Basique (admin / éditeur) |
| Journalisation d’audit | 30 types d’actions, immuable | Non inclus (communauté) |
| GDPR | Endpoints d’export + suppression de données | Non disponible |
Commencez à migrer
19 vulnérabilités en un mois. Trois surfaces d’attaque par exécution de code à distance indépendantes. Des agences nationales de cybersécurité émettant des avis formels.
Si vous exécutez n8n — en particulier auto-hébergé — le profil de risque a fondamentalement changé.
- Importez vos workflows n8n — import automatisé avec plus de 47 mappages de nœuds
- Lisez le guide de migration — guide technique étape par étape
- Comparez JieGou vs. n8n — comparaison complète des fonctionnalités et de la sécurité