RCEの欠陥により103Kのn8n自動化インスタンスが危険にさらされる

n8n自動化プラットフォームに存在する重大なRCEの欠陥により、世界中で公開されている10万3,000超のインスタンスが危険にさらされています。

この欠陥により、認証済みの攻撃者がフルのシステム権限で任意のコードを実行でき、結果として自動化インフラが完全に侵害される可能性があります。

この脆弱性の悪用は「…完全なリモートコード実行とシステムの完全な侵害」につながり得ると、Secure Layer 7の研究者は述べています。

n8n脆弱性の範囲と深刻度

n8nのような自動化プラットフォームは、クラウドサービス、社内システム、機密データソースにまたがるワークフローをオーケストレーションし、しばしば業務運用の中心に位置します。

単一のインスタンスが侵害されるだけで、攻撃者は資格情報、データパイプライン、下流のシステムへの特権アクセスを得られ、自動化ツールそのものをはるかに超えて被害範囲が拡大します。

CVE-2025-68613として追跡されているこの脆弱性はCVSSスコア9.9で、高い潜在的影響と比較的容易な悪用可能性の両方を反映しています。

複数のリリースブランチにわたり0.211.0以降のn8nバージョンに影響し、パッチが適用されない限り、導入済み環境の相当部分が露出したままとなります。

Censysのインターネットスキャンデータはリスクの規模を裏付けており、世界のネットワーク上で公開されている潜在的に脆弱なn8nインスタンスを103,476件特定しています。

このレベルの露出は、特にパッチ適用を先延ばしにしている組織や、ミッションクリティカルな自動化にn8nを依存している組織に対する、機会主義的な攻撃の可能性を高めます。

DevOpsチーム、SaaSプロバイダー、社内IT自動化グループの間でn8nが広く採用されていることを踏まえると、この欠陥はシステム全体に及ぶリスクを示します。とりわけ、自動化プラットフォームが従来は高リスク資産として扱われてこなかった環境では顕著です。

この欠陥は、n8nのワークフロー式評価システムに存在します。特定の条件下で、認証済みユーザーが入力した式が十分なサンドボックス化や分離なしに実行されます。

これにより攻撃者は、本来意図されたセキュリティ境界を回避し、基盤となるオペレーティングシステムと直接やり取りできるようになります。

多くの注目度の高いRCE欠陥とは異なり、悪用に未認証アクセスや外部入力は不要です。

その代わり、攻撃者に必要なのは有効な認証情報だけであり、認証情報が再利用されたり、フィッシングされたり、共有されたりする環境では、この脆弱性は特に危険です。

悪用されると、攻撃者は機密性の高いワークフローデータにアクセスし、自動化ロジックを改ざんし、悪意あるペイロードを展開し、あるいはホスト上に永続化を確立できます。

2025年12月19日の開示時点では活発な悪用は報告されていませんでしたが、SecureLayer7のセキュリティ研究者は概念実証（PoC）エクスプロイトを公開しています。

自動化プラットフォームはしばしば高い権限で動作するため、悪用は接続されたシステム全体に連鎖的な影響を及ぼす可能性があります。

リスクへの対処には、パッチ適用だけでは不十分です。特に、自動化プラットフォームが重要システムへの高いアクセス権を持つ環境ではなおさらです。

これらの対策を実装することで、悪用リスクを低減し、潜在的な影響を封じ込め、全体的なセキュリティ耐性を向上させることができます。

この脆弱性は、企業内の複数のシステム、データソース、信頼ゾーンを接続する自動化・オーケストレーションプラットフォームへと、攻撃者の焦点が広く移行していることを浮き彫りにしています。

組織がローコードやワークフローツールへの依存を強めるにつれ、これらのプラットフォームの弱点は横方向移動や権限昇格を可能にし、単一の欠陥が広範なセキュリティインシデントを引き起こし得ます。

相互接続されたプラットフォームへの依存が高まる中、多くの組織は暗黙の信頼を制限し、あらゆるシステム間のやり取りにおけるアクセスを制限するゼロトラストソリューションの採用を進めています。