Numéro de série : AV26-091
Date : 5 février 2026
Le 4 février 2026, n8n a publié des bulletins de sécurité visant à corriger des vulnérabilités critiques liées aux produits suivants :
- n8n (Merge Node) – versions antérieures à 1.118.0 et versions antérieures à 2.4.0;
- n8n (Git Node) – versions antérieures à 1.123.10 et versions antérieures à 2.5.0;
- n8n (SSH Node) – versions antérieures à 1.123.12 et versions antérieures à 2.4.0;
- n8n (Workflow UI) – versions antérieures à 1.23.9 et versions antérieures à 2.2.1;
- n8n – versions antérieures à 1.123.17 et versions antérieures à 2.5.2.
Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter les pages Web ci-dessous et d’appliquer la mise à jour nécessaire.
- Expression Escape Vulnerability Leading to RCE - (CVE-2025-68613) (CVE-2026-25049) (en anglais seulement)
- Arbitrary File Write leading to RCE in n8n Merge Node (en anglais seulement)
- OS Command Injection in Git Node (en anglais seulement)
- Arbitrary File Write on Remote Systems via SSH Node (en anglais seulement)
- Stored Cross-Site Scripting via Markdown Rendering in Workflow UI (en anglais seulement)
- n8n Security (en anglais seulement)