世界中で利用されているワークフロー自動化プラットフォームn8nに存在する脆弱性により、攻撃者は任意のコードをリモートから実行できます。このバグはCVE-2025-68613として識別され、CVSSスコアは10点中9.9です。
特定の条件下では、機密データへのアクセスや既存スクリプトの改変、OSレベルのコマンド実行を含む、システムの完全な侵害が可能になります。
n8n – 技術チーム向けセキュアなワークフロー自動化は、高い制御性・安全性・柔軟性を備え、アプリケーション、データ、サービス間のタスクやプロセスを自動化する必要がある技術チーム向けに設計された高度なワークフロー自動化プラットフォームです。
多くのコンシューマー向け自動化ツールとは異なり、n8nはドラッグ&ドロップのビジュアルインターフェースと、必要に応じてカスタムコード(JavaScriptまたはPython)を挿入できる機能を組み合わせています。これにより、API、トリガー、論理条件、複数ステップのアクションを統合した複雑なワークフローを構築できます。「フェアコード」のアーキテクチャで、オープンソースかつセルフホスト可能であるため、組織はデータとインフラを完全に管理しつつ、高度なセキュリティおよびコンプライアンス要件も満たせます。
この脆弱性は、ワークフロー設定時に権限のあるユーザーが入力した式をn8nが処理する方法に起因します。場合によっては、これらの式が、メイン環境から十分に隔離されていない実行コンテキストで解釈される可能性があります。
システムへのアクセスを持つ攻撃者に悪用された場合、この脆弱性により、実行中のn8nプロセスと同じ権限で任意のコードを実行できます。
影響を受けるのは、0.211.0から1.120.3まで(いずれも含む)のすべてのバージョンです。
脆弱性を修正する更新は、バージョン1.120.4、1.121.1、1.122.0向けに提供されています。Censysによると、12月22日時点で、潜在的に脆弱なn8nインスタンスがオンライン上に10万3,000件以上存在していました。最も多いのは米国で、次いでドイツ、フランス、ブラジル、シンガポールです。
脆弱性の重大性を踏まえ、管理者には可能な限り早急にパッチを適用することを強く推奨します。迅速な更新が難しい場合は、ワークフローの作成・変更を信頼できるユーザーのみに制限し、最小権限で隔離された環境でn8nを実行し、ネットワークアクセス制限を適用してください。