n8n webhooks : pourquoi vos automations sont vulnérables aux attaques
> En bref : Les webhooks n8n exposés dans le frontend permettent des attaques non authentifiées. Voici comment sécuriser vos workflows.
n8n : l'automation exposée
n8n est un outil d'automation puissant utilisé par de nombreuses startups. Le problème : les URLs de webhooks sont souvent hardcodées dans le JavaScript frontend : accessibles à tout visiteur.
Ce que nous avons trouvé
Sur une plateforme de formation, un webhook n8n hardcodé dans le JS admin permettait la création de comptes avec n'importe quel niveau d'accès. Paramètres : email, nom, mot de passe en clair, niveau d'accès. Temps d'exploitation : 2 minutes.
Les risques
Comment sécuriser
À retenir
Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.
Articles liés
Trois analyses proches pour continuer la lecture sur la meme surface de risque.
Webhooks paie vers la comptabilité : signature, rejeu, et données en transit
Les webhooks qui sortent d'un outil de paie vers un logiciel comptable transportent des montants sensibles. Ce qu'il faut vraiment vérifier.
n8n CVE-2026-59208 : une faille JWT token exchange qui vous connecte sous l'identité d'un autre
Sur les instances n8n Enterprise qui font confiance à deux émetteurs de tokens externes, le flux de token exchange rapprochait un JWT entrant uniquement sur le claim sub et ignorait iss. Un token valide de l'émetteur A connectait sous l'identité d'un utilisateur de l'émetteur B. CVSS 7.6 (4.0) / 6.8 (3.1). Correctif : n8n 2.27.4 et 2.28.1.
React dangerouslySetInnerHTML : vos composants sont des portes ouvertes au XSS
L'utilisation de dangerouslySetInnerHTML sans sanitization expose votre application au XSS. Voici comment corriger.
Sources
Services associés
Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.