広く利用されているワークフロー自動化プラットフォームn8nで、重大なリモートコード実行(RCE)脆弱性が発見され、露出している10万3,000超のインスタンスが直ちに侵害されるリスクにさらされています。
この脆弱性は CVE-2025-68613 として追跡されており、CVSSスコアは9.9という深刻な値で、ほぼ最大級の重大度を示しています。
欠陥はn8nのワークフロー式評価システムに存在し、認証済みユーザーが実行時の実行コンテキストにおける分離不足を悪用することで、任意のコードを注入して実行できます。
悪用に成功すると、攻撃者は影響を受けるインスタンスを完全に制御でき、不正なデータアクセス、ワークフローの改ざん、システムレベルの操作が可能になります。
この脆弱性は0.211.0以降のn8nバージョンに影響し、複数のリリースブランチにまたがって、1.120.4、1.121.1、1.122.0より前のバージョンが含まれます。
2025年12月19日に公表されて以降、この脆弱性はすでに研究者から大きな注目を集めており、SecureLayer7が概念実証(PoC)コードを公開しています。
Censysのセキュリティ研究者は、インターネット上からアクセス可能な、脆弱である可能性のあるn8nインスタンスが約 103,476件存在すると特定しました。
この広範な露出は、重要な業務プロセスでn8nに依存する組織を狙う脅威アクターにとって、相当な攻撃対象領域となります。
企業全体で自動化プラットフォームの採用が進んでいることから、侵害されたインスタンスは、横展開、データ流出、サプライチェーン攻撃を助長する可能性があります。
n8nは、この脆弱性に対処した修正版として 1.120.4、1.121.1、1.122.0 をリリースしました。脆弱なバージョンを運用している組織は、悪用リスクを排除するため直ちにアップグレードすべきです。
ベンダーは、脆弱性の深刻さと、実際に動作する PoCコードが公開されていることを理由に、緊急のパッチ適用を強調しています。
直ちにパッチを適用できない組織に対して、n8nは暫定的なセキュリティ対策を推奨しています。具体的には、ワークフローの作成・編集権限を信頼できる担当者のみに限定し、OS権限を最小限に抑え、ネットワークアクセスを制限した堅牢化環境でn8nを展開することです。
ただし、これらの回避策は不完全な保護しか提供しないため、パッチ適用までの一時的な措置としてのみ用いるべきです。
公表時点では、実環境(wild)での能動的な悪用は確認されていません。しかし、脆弱性の重大度の高さ、公開PoCの存在、そして露出インスタンス数の多さを踏まえると、脅威アクターが攻撃を体系化する前にパッチを適用するよう、組織には緊急の対応圧力がかかっています。
n8nを運用する組織は、この脆弱性を最優先(Priority Zero)のインシデントとして扱うべきです。即時のパッチ適用が不可欠です。
セキュリティチームは、社内のn8n導入状況を棚卸しし、現在のバージョンを確認したうえで、影響を受けるすべてのシステムでアップグレードを実施すべきです。
重大度の高さ、認証済みユーザーにとっての悪用容易性、そして脆弱な展開の広範な存在が組み合わさることで、迅速な対応を要する極めて危険な状況が生まれています。
組織は、Censys PlatformまたはASMソリューションを用いて、自社インフラ内の脆弱である可能性のあるn8nインスタンスを特定し、是正状況の進捗を追跡できます。
翻訳元: https://cyberpress.org/n8n-automation-platform-vulnerability/