Numéro : AL26-001
Date : 12 janvier 2026
Auditoire
La présente alerte s'adresse aux professionnelles et professionnels et aux gestionnaires des TI.
Objet
Une alerte vise à sensibiliser les destinataires à une cybermenace récemment relevée pouvant toucher les biens d'information électroniques et à fournir des conseils supplémentaires en matière de détection et d'atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) peut offrir une assistance supplémentaire aux destinataires qui en font la demande.
Détails
Le 7 janvier 2026, le Centre pour la cybersécurité a été informé de plusieurs vulnérabilités de gravité élevée touchant n8n, un populaire logiciel d'automatisation du flux de travaux. La vulnérabilité CVE-2026-21858Note de bas de page 1 est une vulnérabilité liée à une validation en entrée inappropriée qui est susceptible de permettre à une attaquante ou un attaquant non authentifiée d'exécuter du code arbitraire à distance (CWE-20)Note de bas de page 2. Le principal problème découle de la façon dont le lien de rappel HTTP de n8n traite les données entrantes et gère le traitement des fichiers. Les liens de rappel HTTP, qui servent à ingérer les données à partir d'applications externes, sont déclenchés après que la fonction parseRequestBody() a analysé les requêtes dans la mesure où une validation insuffisante crée un vecteur d'attaqueNote de bas de page 3.
La vulnérabilité CVE-2026-21877Note de bas de page 4 est liée au contrôle inapproprié de la génération de code (injection de code). Elle est susceptible de permettre à une attaquante ou un attaquant privilégié d'exécuter du code arbitraire à distance (CWE-94)Note de bas de page 5 et peut être combinée à la vulnérabilité CVE-2026-21858 non authentifiée pour exécuter du code ou procéder à l'écriture arbitraire de fichiers sur certaines versions vulnérables du logiciel n8n.
La vulnérabilité CVE‑2025‑68613Note de bas de page 6 est une vulnérabilité critique liée à l'exécution de code à distance qui résulte d'une isolation insuffisante des expressions fournies par les utilisatrices et utilisateurs dans les configurations des flux de travaux. Cette lacune permet à des attaquantes et attaquants authentifiés d'exécuter du code arbitraire avec les mêmes privilèges que le processus n8n, ce qui peut donner lieu à la compromission complète de l'instance.
Le 7 janvier 2026, le Centre pour la cybersécurité a publié le bulletin AV26-004Note de bas de page 7 en réponse au bulletin du fournisseur.
Le Centre pour la cybersécurité a observé dans des rapports de source ouverte que plusieurs preuves de concept étaient disponibles publiquement, dont une qui combine les vulnérabilités CVE‑2026‑21858 et CVE‑2025‑68613Note de bas de page 8. La séquence de cet exploit permet une exécution de code à distance (RCE pour Remote Code Execution) non authentifiée dans le cadre de laquelle les données sensibles sont extraites avant l'exécution de commandes arbitraires sur le serveur touché.
Mesures recommandées
Le Centre pour la cybersécurité recommande aux organisations de mettre à jour les instances affectées du n8n vers la dernière version prise en charge. Le tableau ci-dessous montre les versions affectées et corrigées pour chaque CVE :
| Produits touchés | CVE | Versions touchées | Versions corrigées |
|---|---|---|---|
| n8n | CVE-2025-68613 | version 0.211.0 aux versions antérieures à 1.120.4, 1.121.1 et 1.122.0 | 1.120.4, 1.121.1 et 1.122.0 |
| n8n | CVE-2026-21858 | version 1.65.0 aux versions antérieures à 1.121.0 | 1.121.0 |
| n8n | CVE-2026-21877 | versions antérieures à 0.121.2 | 1.121.3 |
Note : la version n8n 1.X atteindra la fin de vie (EOL) au début mars 2026Note de bas de page 9.
S'il n'est pas possible d'appliquer immédiatement les correctifs, le fournisseur suggère aux utilisatrices et utilisateurs de limiter ou de désactiver le lien de rappel HTTP et les points d'extrémité des formulaires accessibles au public jusqu'à ce que les correctifs puissent être appliquésNote de bas de page 10.
De plus, le Centre pour la cybersécurité recommande fortement aux organisations de passer en revue et de mettre en œuvre ses 10 mesures de sécurité des TI, en mettant l'accent sur ce qui suitNote de bas de page 11 :
- appliquer des correctifs aux applications et aux systèmes d'exploitation;
- renforcer les systèmes d'exploitation et les applications;
- isoler les applications Web.
Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l'entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.