Retour au blog
n8ntechniquewebhooks

n8n webhooks : pourquoi vos automations sont vulnérables aux attaques

Publié le 2026-03-125 min de lectureFlorian

n8n : l'automation exposée

n8n est un outil d'automation puissant utilisé par de nombreuses startups. Le problème : les URLs de webhooks sont souvent hardcodées dans le JavaScript frontend : accessibles à tout visiteur.

Ce que nous avons trouvé

Sur une plateforme de formation, un webhook n8n hardcodé dans le JS admin permettait la création de comptes avec n'importe quel niveau d'accès. Paramètres : email, nom, mot de passe en clair, niveau d'accès. Temps d'exploitation : 2 minutes.

Les risques

  • Création de comptes admin non autorisée
  • Exécution de workflows coûteux (consommation de ressources)
  • Injection de données dans vos systèmes
  • Accès à des intégrations tierces (Slack, email, CRM)

    • Comment sécuriser

  • N'exposez JAMAIS les URLs de webhook dans le frontend
  • Utilisez l'authentification par header sur les webhooks n8n
  • Validez les données entrantes dans chaque workflow
  • Protégez l'interface n8n elle-même (6 CVE critiques identifiées en 3 mois)

    • Articles liés

    Trois analyses proches pour continuer la lecture sur la meme surface de risque.

    HR Techwebhooks

    Webhooks paie vers la comptabilité : signature, rejeu, et données en transit

    Les webhooks qui sortent d'un outil de paie vers un logiciel comptable transportent des montants sensibles. Ce qu'il faut vraiment vérifier.

    2026-04-16 · 4 min de lecture
    Reacttechnique

    React dangerouslySetInnerHTML : vos composants sont des portes ouvertes au XSS

    L'utilisation de dangerouslySetInnerHTML sans sanitization expose votre application au XSS. Voici comment corriger.

    2026-03-15 · 5 min de lecture
    Supabasetechnique

    Supabase RLS : 5 erreurs de configuration que nous trouvons chaque semaine

    Les politiques Row Level Security de Supabase sont la première ligne de défense. Voici les 5 erreurs les plus fréquentes.

    2026-03-28 · 7 min de lecture

    Sources

    Rédigé par Florian
    Revu le 2026-03-12

    Analyse éditoriale fondée sur la documentation officielle des éditeurs, projets et autorités concernées.

    Services associés

    Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

    Revue Externe

    Obtenir rapidement une lecture claire de l'exposition réelle de votre produit.

    Audit Complet

    Documenter toutes les failles prioritaires et obtenir un vrai plan de remédiation.

    Suivi Récurrent

    Surveiller les nouvelles expositions quand votre stack évolue dans le temps.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit