研究者らは、組織がAIエージェントやワークフロー、そして数百に及ぶ他のエンタープライズサービスを統合できる自動化プラットフォームn8nに存在する重大な脆弱性が、攻撃者によって悪用され、標的ネットワークを完全に掌握される可能性があると警告している。
Cyeraによると、最大深刻度の脆弱性(CVE-2026-21858)は世界で約10万台のサーバーに影響している。Cyeraは当初、この欠陥を発見して報告し、11月9日にn8nへ通知した。広く利用されているこのプラットフォームの開発者は11月18日に脆弱性のパッチをリリースしたが、水曜日まで公表もCVEの割り当ても行わなかった。
「リスクは甚大です」とCyera Research Labsのセキュリティ研究者Dor Attias氏はCyberScoopに語った。「n8nは企業の自動化インフラの中核にあります。n8nを掌握するということは、機密情報、顧客データ、CI/CDパイプラインなどへのアクセスを得ることを意味します。」
研究者らはこの脆弱性が実際に悪用されている状況は確認していないが、Cyeraは動作する概念実証(PoC)を公開した。これは通常、野外での悪用が起きる前に防御側が欠陥を修正するための競争を引き起こす。
「顧客のn8nインスタンスを狙ったトラフィックが目に見えて増加しています」とUpwindのCEO、Amiram Shachar氏は述べた。「この活動は、少なくとも現時点では、悪用が確認されたというよりも、攻撃者とセキュリティ研究者の双方からの関心の高まりによって引き起こされている可能性が高いと考えています。」
このコンテンツタイプ混同の脆弱性は認証不要で、完全なリモートコード実行を可能にし、回避策は存在しない。コメント要請に応じなかったn8nと研究者らは、脆弱性を解消するためにバージョン1.121.1以降へ更新するようユーザーに勧告している。
この欠陥を「ni8mare」と名付けたCyeraは、パッチが脆弱性に効果的に対処していると述べた。
n8nが広範に導入されていること、そして悪用によって生じ得る露出の可能性から、脅威ハンターはこの脆弱性を特に懸念している。
「n8nのインスタンスは通常、アクセストークン、認証情報、事業上重要なデータを含む極めて機微なワークフローを管理しています。これは攻撃者にとって金鉱です」とShachar氏は述べた。
適切な露出管理、権限境界、より広範なアプリケーションセキュリティ制御の欠如を含む構造的な弱点がリスクを増幅させている、とShachar氏は付け加えた。
n8nが脆弱性を公表するまでに約2カ月を要した理由は不明だ。Cyeraが脆弱性を報告した翌日、同社は欠陥を認識して修正作業を開始したとAttias氏は述べた。
「遅れは、おそらく追加のバグの修正にも取り組んでいたためで、勧告の公開を急ぐよりもそちらの方が重要だったのでしょう」と同氏は付け加えた。
実際、n8nは水曜日、CVSS評価が10の別のリモートコード実行脆弱性(CVE-2026-21877)を公表した。
Shachar氏は、情報開示手順とn8nの急速な成長が、セキュリティ勧告チャネルとの調整を遅らせた可能性があると述べ、また一部のセキュリティチームは、即時かつ広範な攻撃のリスクを減らすための責任ある措置として開示の遅延を捉えていると付け加えた。
翻訳元: https://cyberscoop.com/n8n-critical-vulnerability-massive-risk/
