「Ni8mare」と名付けられた最大深刻度の脆弱性により、リモートの未認証攻撃者が、ローカルにデプロイされたN8Nワークフロー自動化プラットフォームのインスタンスを制御できてしまいます。
このセキュリティ問題はCVE-2026-21858として識別され、深刻度スコアは10点満点中10です。データセキュリティ企業Cyeraの研究者によると、脆弱なn8nサーバーは10万台以上存在します。
n8nはオープンソースのワークフロー自動化ツールで、ユーザーはビジュアルエディターを通じてアプリケーション、API、サービスを接続し、複雑なワークフローを構築できます。主にタスクの自動化に使用され、AIや大規模言語モデル(LLM)サービスとの連携もサポートしています。
npmでは週あたり5万回以上のダウンロードがあり、Docker Hubでは1億回以上プルされています。AI分野で人気のツールで、LLM呼び出しのオーケストレーション、AIエージェントやRAGパイプラインの構築、そしてデータ取り込みと取得の自動化に使われています。
Ni8mareの詳細
Ni8mareの脆弱性により、攻撃者は特定のフォームベースのワークフローを実行することで、基盤となるサーバー上のファイルにアクセスできます。
「脆弱なワークフローは、未認証のリモート攻撃者にアクセス権を与えてしまう可能性があります。これにより、システムに保存された機密情報が露出し、デプロイ構成やワークフローの使用状況によっては、さらなる侵害につながる可能性があります」と、n8nの開発者は述べています。
Cyeraの研究者はNi8mareの脆弱性(CVE-2026-21858)を発見し、2025年11月9日にn8nへ報告しました。彼らによれば、このセキュリティ問題は、n8nがデータを解析する方法におけるコンテンツタイプの混同です。
n8nは、ワークフロー内で特定のメッセージを待ち受けてイベントをトリガーするコンポーネントであるWebhookに設定された「content-type」ヘッダーに基づき、受信データを処理するために2つの関数を使用します。
Webhookリクエストがmultipart/form-dataとしてマークされている場合、n8nはそれをファイルアップロードとして扱い、ファイルをランダムに生成された一時的な場所に保存する特別なアップロードパーサーを使用します。
「つまり、ユーザーはファイルの保存先を制御できないため、パストラバーサル攻撃から保護されます。」
しかし、それ以外のすべてのコンテンツタイプでは、n8nは代わりに標準のパーサーを使用します。
Cyeraは、application/jsonのような別のコンテンツタイプを設定することで、攻撃者がアップロードパーサーを回避できることを発見しました。
この状況では、n8nはファイル関連フィールドを引き続き処理しますが、リクエストに有効なファイルアップロードが実際に含まれているかどうかを検証しません。これにより攻撃者は、ファイルパスを含むファイルメタデータを完全に制御できてしまいます。
出典: Cyera
Cyeraは、「この関数は、コンテンツタイプがmultipart/form-dataであることを検証せずに呼び出されるため、req.body.filesオブジェクト全体を制御できます。つまりfilepathパラメータを制御できるので、アップロードされたファイルをコピーする代わりに、システム上の任意のローカルファイルをコピーできます」と説明しています。
これにより、n8nインスタンスから任意のファイルを読み取れるようになり、内部ファイルをワークフローのナレッジベースに追加することで秘密情報が露出する可能性があります。
Cyeraによると、これを悪用してインスタンスに保存された秘密情報を露出させたり、機密ファイルをワークフローに注入したり、認証を回避するためにセッションクッキーを偽造したり、さらには任意のコマンドを実行したりできる可能性があります。
出典: Cyera
Cyeraは、n8nがAPIキー、OAuthトークン、データベース認証情報、クラウドストレージアクセス、CI/CDシークレット、ビジネスデータをしばしば保存しており、中心的な自動化ハブになっている点を強調しています。
n8nの開発者は、Ni8mareに対する公式の回避策はないものの、公開アクセス可能なWebhookおよびフォームのエンドポイントを制限または無効化することが1つの緩和策だと述べています。
推奨される対応は、n8nをバージョン1.121.0、またはそれ以降の新しいバージョンへ更新することです。
