Février 2026 a été catastrophique pour l’histoire sécuritaire de n8n. Cela a commencé avec 8 CVE le 6 février. Puis 11 de plus le 25 février. Maintenant, Ni8mare (CVE-2026-21858) — une vulnérabilité d’exécution de code à distance non authentifiée de CVSS 10.0 — porte le total à 20+ CVE, 7 critiques et 4 vecteurs RCE indépendants en un seul mois.
Ce n’est plus un problème de patching. C’est un problème d’architecture.
Récapitulatif : l’effondrement sécuritaire de février
6 février — La première vague (8 CVE)
Le bulletin du 6 février de n8n a divulgué 8 vulnérabilités, dont CVE-2026-25049 (CVSS 9.4) — un contournement du correctif de décembre 2025 pour le RCE original d’injection d’expressions. Le contournement a prouvé que le moteur d’évaluation d’expressions a un défaut de conception fondamental, pas un bug ponctuel.
25 février — Trois nouveaux vecteurs RCE (11 CVE)
Trois semaines plus tard, n8n a publié 11 vulnérabilités supplémentaires dont 3 nouveaux problèmes de gravité critique dans des sous-systèmes complètement indépendants :
| CVE | Gravité | Surface d’attaque |
|---|---|---|
| CVE-2026-27497 | Critique (9.4) | Mode requête SQL — exécution de code arbitraire |
| CVE-2026-27577 | Critique (9.4) | Évasion du sandbox d’expressions — commandes système |
| CVE-2026-27495 | Critique (9.4) | Évasion du sandbox JavaScript task runner |
Les problèmes supplémentaires incluaient du XSS stocké, un contournement SSO, une évaluation de formulaire non authentifiée, de l’injection SQL sur MySQL/PostgreSQL/MSSQL et de la falsification de webhook.
Ni8mare : la pire de toutes
CVE-2026-21858 — CVSS 10.0 — Exécution de code à distance non authentifiée
Ni8mare exploite la confusion de Content-Type dans la gestion des webhooks de n8n pour obtenir une prise de contrôle complète du serveur. Ce qui la rend qualitativement différente des trois autres vecteurs RCE :
- Aucun identifiant requis. Les vecteurs RCE précédents (expression, SQL, task runner) nécessitaient tous un certain niveau d’accès authentifié. Ni8mare n’a besoin de rien — tout endpoint de webhook exposé est une surface d’attaque.
- Prise de contrôle complète du serveur. Non limité à une évasion de sandbox ou une injection de requête. Exécution de code à distance complète sur le serveur sous-jacent.
- ~100 000 instances exposées. Ce n’est pas le chiffre de 26 512 des scans Censys précédents — la surface d’attaque de Ni8mare inclut toute instance n8n avec des endpoints de webhook, élargissant dramatiquement l’exposition.
- 4e surface d’attaque indépendante. Évaluation d’expressions, mode requête SQL, JavaScript task runner, et maintenant confusion de Content-Type de webhook. Quatre sous-systèmes complètement séparés, quatre chemins complètement séparés vers le RCE.
Pourquoi la confusion de Content-Type est si dangereuse
Les endpoints de webhook sont par définition exposés sur internet. Ils sont conçus pour recevoir des requêtes externes. Quand le mécanisme qui parse ces requêtes — le gestionnaire de Content-Type — peut être trompé pour exécuter du code arbitraire, le concept même de « webhook » devient un point d’entrée pour l’exécution de code à distance.
Chaque workflow n8n qui commence par un déclencheur webhook est une cible potentielle de Ni8mare. Pas d’authentification. Pas de chaîne d’exploitation. Juste une seule requête mal formée.
4 vecteurs RCE indépendants = architecture défaillante
Trouver un RCE dans un produit est un incident de sécurité sérieux. En trouver deux est un schéma. En trouver trois en un mois est alarmant.
Trouver quatre vecteurs RCE indépendants en un seul mois — couvrant quatre sous-systèmes séparés — est la confirmation que l’architecture de sécurité est fondamentalement défaillante.
| Vecteur RCE | Sous-système | CVE | Auth requise |
|---|---|---|---|
| Évasion sandbox d’expressions | Moteur d’évaluation d’expressions | CVE-2026-27577 | Oui |
| RCE mode requête SQL | Moteur d’exécution SQL | CVE-2026-27497 | Oui |
| Évasion JS task runner | Sandbox JavaScript | CVE-2026-27495 | Oui |
| Confusion Content-Type webhook | Gestion des webhooks | CVE-2026-21858 | Non |
Chacun représente une surface d’attaque distincte. Patcher l’un ne protège pas contre les autres. Un attaquant n’a besoin d’en trouver qu’un seul — et avec Ni8mare, il n’a même pas besoin d’identifiants.
Avis des agences nationales
La gravité des divulgations de février de n8n a provoqué des avis formels des agences nationales de cybersécurité :
- CSA de Singapour (Cyber Security Agency of Singapore) — A émis un avis pour les vulnérabilités n8n
- CCCS du Canada (Canadian Centre for Cyber Security) — A émis un avis pour les vulnérabilités n8n
Ce sont les mêmes agences qui émettent des avis pour les vulnérabilités d’infrastructures critiques. Quand des gouvernements nationaux avertissent les organisations concernant votre plateforme d’automatisation, l’urgence dépasse le patching de routine.
Pourquoi le patching ne suffit pas
Le schéma de février raconte une histoire définitive :
- 6 février : 8 CVE — dont un contournement du correctif de décembre 2025
- 25 février : 11 CVE supplémentaires — 3 nouvelles critiques dans des sous-systèmes séparés
- Ni8mare : CVSS 10.0 — RCE non authentifié via les webhooks, 4e vecteur indépendant
Même si vous patchez vers la dernière version aujourd’hui :
- Le correctif de décembre 2025 a été contourné en février. Correctif → contournement → correctif n’est pas une stratégie de sécurité durable.
- Quatre sous-systèmes séparés avaient des vulnérabilités RCE indépendantes. Cela suggère des problèmes systémiques dans l’approche sécuritaire de n8n à travers sa base de code.
- Ni8mare ne nécessite aucune authentification. Tout workflow activé par webhook était une porte ouverte. Si votre instance était exposée avant le patching, la compromission peut avoir déjà eu lieu.
- La version minimale sûre est v2.5.2+. Si vous exécutez v2.2.2 ou antérieure, vous êtes toujours vulnérable à Ni8mare même avec les correctifs pour les autres vulnérabilités.
Le chemin de migration
L’assistant d’import n8n de JieGou convertit automatiquement vos exports JSON de workflows n8n en workflows JieGou — et inclut désormais une évaluation de sécurité qui identifie les nœuds de webhook vulnérables à Ni8mare :
- Exportez vos workflows n8n (Paramètres → Exporter tous les workflows)
- Téléchargez le JSON dans l’assistant d’import de JieGou
- Vérifiez la conversion — plus de 50 mappages de types de nœuds gérés automatiquement, plus une évaluation de sécurité mettant en avant les nœuds vulnérables (déclencheurs webhook, nœuds de code, nœuds SQL, agents LangChain)
- Déployez avec hébergement managé, zéro patching et infrastructure de conformité prête pour SOC 2
L’évaluation de sécurité scanne votre workflow à la recherche de nœuds mappés aux CVE connues :
- Déclencheurs webhook → CVE-2026-21858 (Ni8mare) — critique
- Nœuds Code / Function → CVE-2026-27577 (évasion sandbox d’expressions) — élevé
- Nœuds PostgreSQL / MySQL / MSSQL → CVE-2026-27497 (RCE SQL) — élevé
- Nœuds LangChain Agent / Chain → CVE-2026-27495 (évasion task runner) — moyen
- Déclencheurs Form → CVE-2026-27493 (évaluation de formulaire non authentifiée) — moyen
Résumé CVE mis à jour
| Métrique | Nombre |
|---|---|
| Total des CVE en février 2026 | 20+ |
| Gravité critique (CVSS 9.4-10.0) | 7 |
| Vecteurs RCE indépendants | 4 |
| RCE non authentifié (Ni8mare) | 1 (CVSS 10.0) |
| Avis d’agences nationales | 2 (CSA Singapour, CCCS Canada) |
| Instances exposées | ~100 000 |
| Version minimale sûre | v2.5.2+ |
Comparaison de sécurité
| Dimension | JieGou | n8n |
|---|---|---|
| CVE (fév. 2026) | 0 | 20+ au total, 7 critiques |
| Vecteurs RCE | N/A | 4 indépendants |
| RCE non authentifié | N/A | CVE-2026-21858 Ni8mare |
| Avis gouvernementaux | Aucun nécessaire | CSA Singapour, CCCS Canada |
| Instances exposées | N/A (cloud + VPC) | ~100 000 |
| Suite de tests | 11 875 tests, 99,18 % de couverture | Open-source ; tests communautaires |
| SOC 2 | Tech complète, 17 politiques, audit en cours | Non disponible |
| Chiffrement au repos | AES-256-GCM (BYOK) | Non inclus (communauté) |
| RBAC | 6 rôles, 20 permissions | Basique (admin / éditeur) |
| Journalisation d’audit | 30 types d’actions, immuable | Non inclus (communauté) |
Commencez à migrer
20+ vulnérabilités. Quatre surfaces d’attaque par exécution de code à distance indépendantes. Une qui ne nécessite aucune authentification. Des agences nationales de cybersécurité émettant des avis formels.
Si vous exécutez n8n — en particulier auto-hébergé — le profil de risque a fondamentalement changé avec Ni8mare.
- Importez vos workflows n8n — import automatisé avec plus de 50 mappages de nœuds et évaluation de sécurité
- Lisez le guide de migration — guide technique étape par étape
- Comparez JieGou vs. n8n — comparaison complète des fonctionnalités et de la sécurité