Skip to content
← Blog
Produit

Février 2026 de n8n : 19 CVE, 6 critiques, et pourquoi il est temps de migrer

n8n a divulgué 19 vulnérabilités de sécurité en février 2026 — dont 6 critiques avec 3 vecteurs RCE indépendants. Les agences nationales de cybersécurité ont émis des avis formels. Voici ce qui s'est passé et comment migrer.

JT
JieGou Team · · 6 min de lecture

JieGou has evolved.

Since this post was published, JieGou has pivoted from an AI automation platform to an AI-powered operations company delivering managed marketing and operations services. Learn about our managed services →

En février 2026, n8n a publié deux bulletins de sécurité divulguant un total combiné de 19 vulnérabilités — dont 6 critiques (CVSS 9.4+) et 3 surfaces d’attaque par exécution de code à distance indépendantes. Des agences nationales de cybersécurité — la CSA de Singapour et le CCCS du Canada — ont émis des avis formels.

Ce n’est pas un problème de patching. C’est un problème d’architecture structurelle touchant plusieurs sous-systèmes de n8n.

6 février : La première vague — 8 CVE

Le mois a commencé avec le bulletin du 6 février de n8n divulguant 8 vulnérabilités, dont le RCE d’évaluation d’expressions déjà connu et un nouveau développement critique : CVE-2026-25049 (CVSS 9.4), qui contournait le correctif de décembre 2025 pour le RCE d’injection d’expressions original de CVSS 10.0.

Le contournement a prouvé qu’il ne s’agissait pas d’un bug ponctuel — c’était la preuve d’un défaut de conception fondamental dans le moteur d’évaluation d’expressions de n8n. Les correctifs ponctuels traitent des vecteurs d’attaque spécifiques mais laissent l’architecture sous-jacente vulnérable à de nouvelles techniques d’exploitation.

25 février : 11 CVE supplémentaires — 3 critiques

Trois semaines plus tard, n8n a publié un second bulletin avec 11 vulnérabilités supplémentaires, dont 3 nouveaux problèmes de gravité critique :

| CVE | Gravité | Description | |-----|---------|-------------| | CVE-2026-27497 | Critique (9.4) | Le mode requête SQL permet l’exécution de code arbitraire sur le serveur n8n | | CVE-2026-27577 | Critique (9.4) | Évasion du sandbox d’expressions — commandes système via des paramètres manipulés | | CVE-2026-27495 | Critique (9.4) | Évasion du sandbox du JavaScript task runner — exécution de code arbitraire | | CVE-2026-27578 | Élevé | XSS stocké | | CVE-2026-27493 | Élevé | Évaluation d’expressions non authentifiée via le Form Node | | + 6 autres | Élevé/Moyen | Contournement d’authentification chat, contournement SSO, injection SQL (MySQL/PostgreSQL/MSSQL), falsification de webhook |

Trois vecteurs RCE indépendants en un mois

Le bulletin du 25 février est particulièrement alarmant car il révèle trois chemins complètement indépendants vers l’exécution de code à distance :

  1. Évaluation d’expressions — Le sandbox conçu pour évaluer les expressions utilisateur en toute sécurité peut être contourné, permettant l’exécution de commandes système arbitraires. C’est le même sous-système qui a produit le RCE de décembre 2025 et le contournement de février — maintenant avec une nouvelle technique d’évasion.

  2. Mode requête SQL — Le moteur d’exécution SQL permet l’exécution de code arbitraire sur le serveur n8n. C’est un sous-système entièrement séparé de l’évaluation d’expressions.

  3. JavaScript task runner — L’environnement d’exécution JavaScript sandboxé peut être contourné, permettant l’exécution de code arbitraire. Encore une fois, un sous-système complètement séparé.

Chacun de ces éléments représente une surface d’attaque distincte dans une partie différente de l’architecture de n8n. Patcher l’un ne protège pas contre les autres. Un attaquant n’a besoin d’en trouver qu’un seul.

Réponse des agences nationales de cybersécurité

La gravité des divulgations de février de n8n a provoqué des avis formels des agences nationales de cybersécurité :

  • CSA de Singapour (Cyber Security Agency of Singapore) — A émis un avis pour les vulnérabilités n8n
  • CCCS du Canada (Canadian Centre for Cyber Security) — A émis un avis pour les vulnérabilités n8n

Quand des gouvernements nationaux émettent des avertissements concernant votre plateforme d’automatisation, l’urgence est claire. Ce sont les mêmes agences qui émettent des avis pour les vulnérabilités d’infrastructures critiques.

Pourquoi le patching ne suffit pas

Le schéma de février raconte une histoire claire :

  • 6 février : 8 CVE dont un contournement du correctif de décembre 2025
  • 25 février : 11 CVE supplémentaires dans trois sous-systèmes séparés
  • Combiné : 19 CVE, 6 critiques, 3 vecteurs RCE indépendants

Ce n’est pas un cas où appliquer le dernier correctif résout le risque. Les vulnérabilités couvrent :

  • Le moteur d’évaluation d’expressions
  • Le moteur d’exécution SQL
  • Le sandbox JavaScript task runner
  • Les systèmes d’authentification et SSO
  • Les endpoints d’évaluation de formulaires
  • Les connecteurs de bases de données (MySQL, PostgreSQL, MSSQL)
  • La gestion des webhooks

L’étendue suggère des problèmes de sécurité systémiques au niveau de l’architecture, pas des bugs isolés.

Résumé des CVE de février 2026

| Métrique | Nombre | |----------|--------| | Total des CVE en février 2026 | 19 | | Gravité critique (CVSS 9.4+) | 6 | | Vecteurs RCE indépendants | 3 | | Avis d’agences nationales | 2 (CSA Singapour, CCCS Canada) | | Rounds de correctifs en février | 2 (6 fév + 25 fév) | | Instances exposées (Censys) | 26 512 |

Correctifs disponibles : n8n 2.10.1, 2.9.3, 1.123.22. Toutes les instances auto-hébergées doivent être mises à jour immédiatement.

Le chemin de migration

L’assistant d’import n8n de JieGou convertit automatiquement vos exports JSON de workflows n8n en workflows JieGou :

  1. Exportez vos workflows n8n (Paramètres → Exporter tous les workflows)
  2. Téléchargez le JSON dans l’assistant d’import de JieGou
  3. Vérifiez la conversion — plus de 47 mappages de types de nœuds gérés automatiquement
  4. Déployez avec hébergement managé, zéro patching et infrastructure de conformité prête pour SOC 2

L’outil d’import mappe les nœuds n8n vers les étapes JieGou :

  • Set / Code / Function → Étape LLM
  • IF / Switch / Filter → Étape Condition
  • SplitInBatches → Étape Boucle
  • HTTP Request → LLM + Outil MCP
  • Slack / Gmail / GitHub → LLM + Serveur MCP
  • Webhook → Déclencheur Webhook

Comparaison de sécurité

| Dimension | JieGou | n8n | |-----------|--------|-----| | CVE (fév. 2026) | 0 | 19 au total, 6 critiques | | Vecteurs RCE | N/A | 3 indépendants | | Avis gouvernementaux | Aucun nécessaire | CSA Singapour, CCCS Canada | | Instances exposées | N/A (cloud + VPC) | 26 512 | | SOC 2 | Tech complète, 15 politiques, audit en cours | Non disponible | | Chiffrement au repos | AES-256-GCM (BYOK) | Non inclus (communauté) | | RBAC | 6 rôles, 20 permissions | Basique (admin / éditeur) | | Journalisation d’audit | 30 types d’actions, immuable | Non inclus (communauté) | | GDPR | Endpoints d’export + suppression de données | Non disponible |

Commencez à migrer

19 vulnérabilités en un mois. Trois surfaces d’attaque par exécution de code à distance indépendantes. Des agences nationales de cybersécurité émettant des avis formels.

Si vous exécutez n8n — en particulier auto-hébergé — le profil de risque a fondamentalement changé.

  1. Importez vos workflows n8n — import automatisé avec plus de 47 mappages de nœuds
  2. Lisez le guide de migration — guide technique étape par étape
  3. Comparez JieGou vs. n8n — comparaison complète des fonctionnalités et de la sécurité
n8n security CVE migration RCE enterprise compliance

Explore more

⚖️ JieGou vs n8n ⚙️ Enterprise Plan 📖 AI Governance ⚙️ Platform Overview
Partager cet article

Articles connexes

Ni8mare : le 4e vecteur RCE de n8n en un mois confirme l'échec architectural

CVE-2026-21858 'Ni8mare' est un RCE non authentifié de CVSS 10.0 dans la gestion des webhooks de n8n. Aucun identifiant nécessaire. ~100 000 instances exposées. C'est le 4e vecteur RCE indépendant en février 2026 — confirmant une architecture de sécurité défaillante.

Pourquoi nous avons construit le déploiement hybride au lieu du self-hosted — et ce que les 26 512 instances exposées de n8n nous apprennent

La crise de sécurité de n8n a exposé 26 512 instances vulnérables. Voici pourquoi self-hosted ne doit pas signifier self-vulnérable, et comment le modèle hybride de JieGou offre un meilleur chemin.

80 % de votre personnel utilise de l'IA non approuvée. Voici ce que ça vous coûte.

L'IA fantôme n'est pas hypothétique. 80 %+ d'utilisation non approuvée, 33 % partageant des données propriétaires, 650K$+ par violation. La crise est quantifiée. Voici comment la gouvernance l'empêche.

Vous avez aime cet article ?

Recevez des astuces workflows, des mises a jour produit et des guides d'automatisation dans votre boite de reception.

No spam. Unsubscribe anytime.

← Retour a tous les articles