セキュリティ研究者は、n8nワークフロー自動化プラットフォームに影響する重大なリモートコード実行の欠陥であるCVE-2025-68613について、概念実証(PoC)エクスプロイトコードが公開されたことを確認しました。
この脆弱性は最大CVSSスコア10.0で、v0.211.0からv1.120.3までのバージョンに影響します。
n8nは、重要なワークフローを自動化し、社内システム、API、クラウドサービスと連携するため、企業環境で広く導入されています。
この脆弱性により、認証済みユーザーが基盤となるサーバー上で任意のコマンドを実行でき、インフラ全体が侵害される可能性があります。
この欠陥は、JavaScript式の評価が不適切であることに起因します。n8nは、二重の中括弧 {{ }} で囲まれたユーザー入力をサーバー側でJavaScriptコードとして処理します。しかし、実行環境には十分なサンドボックス化がありません。
SecureLayer7によると、攻撃者はこれを悪用してNode.jsのprocessオブジェクトにアクセスし、 child_processのようなシステムモジュールを読み込むことで、ホストシステム上で直接コマンドを実行できるようになります。
悪用の詳細
攻撃者に必要なのは、低い権限レベルであっても有効なn8nアカウントと、ワークフローを作成または編集できる権限だけです。
エクスプロイトは複数の攻撃ベクトルを通じて展開できます:
- ワークフローエディター: ノードフィールドに悪意のある式を直接注入
- REST API: ワークフロー作成エンドポイント経由で細工したペイロードを送信
- Webhookトリガー: Webhookベースのワークフローにコードを埋め込む
- サプライチェーン: インポートされたワークフローテンプレートに悪意のあるコードを隠す
一度トリガーされると、悪用に成功した場合はシステムへの完全なアクセスが付与され、APIキーやデータベース認証情報を含む環境変数の窃取、機密ファイルの読み取り、永続的なバックドアの設置、接続されたシステムへのさらなる侵入(ピボット)が可能になります。
影響を受けるn8nバージョンを運用している組織は、直ちにパッチ適用を最優先すべきです。修正版にはv1.120.4、v1.121.1、v1.122.0、およびそれ以降のリリースが含まれます。
パッチ適用前に、ワークフローログ内で process.mainModule.require、 child_process、または execSync を含む不審な式を監視することで検知対策を実装してください。
ネットワークチームは、n8nインスタンスへの外部アクセスを制限し、ユーザー権限を信頼できるアカウントのみに限定し、最近のワークフロー作成および変更ログを監査して不審な活動がないか確認すべきです。
セキュリティチームは環境変数の設定を見直し、接続されたデータベースおよびクラウドプラットフォーム全体で露出した可能性のある認証情報をローテーション(変更)する必要があります。
公開PoCコードのリリースにより、脅威のタイムラインは大幅に加速します。この脆弱性の重大性と自動化ワークフロー環境に存在する点を踏まえると、実環境での悪用は急速に発生すると予想されます。
セキュリティおよびDevOpsチームは、これを即時の是正対応を要する最優先のインシデントとして扱うべきです。
翻訳元: https://gbhackers.com/poc-exploit-for-critical-n8n-rce-vulnerability/
