Numéro de série : AV26-176
Date : 26 février 2026
Le 25 février 2026, n8n a publié des bulletins de sécurité visant à corriger des vulnérabilités critiques liées aux produits suivants :
- n8n (Merge Node) – multiples versions;
- n8n (Expression Sandbox) – multiples versions;
- n8n (Task Runner Sandbox) – multiples versions;
- n8n (Form Node) – multiples versions;
- n8n (Form Trigger/Chat Trigger/Send & Wait/Webhook/Chat Nodes) – multiples
- versions.
Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter les pages Web ci-dessous et d’appliquer la mise à jour nécessaire.
- Remote Code Execution via Merge Node (en anglais seulement)
- Expression Sandbox Escape Leading to RCE (en anglais seulement)
- Sandbox Escape in JavaScript Task Runner (en anglais seulement)
- Unauthenticated Expression Evaluation via Form Node (en anglais seulement)
- Stored XSS via Various Nodes (en anglais seulement)
- n8n Security (en anglais seulement)