著名なワークフロー自動化プラットフォームn8nに重大な脆弱性が発見され、必要な認証情報なしに脆弱なインスタンスを不正に乗っ取ることが可能となります。精巧に作り込まれたリクエストを送信することで、攻撃者は機密のシークレットを抽出し、管理者権限を偽造し、最終的にはサーバー上で任意のコマンドを実行できます。
最大CVSSスコア10.0のCVE-2026-21858として正式に指定されたこの欠陥は、Cyera Research Labsにより「Ni8mare」と名付けられました。n8nによれば、このエクスプロイトは特定のフォーム関連ワークフローの実行を通じて、ローカルサーバーファイルを不正に読み取ることを可能にします。これらのフォームを用いてデータを取り込み処理している組織にとって、リスクはとりわけ深刻です。攻撃者は標準のアップロード手順を回避し、ホストのディスク上に存在する任意のファイルの内容を取得して送信するようシステムに強制できます。
注目すべきことに、これはわずか2週間の間にn8nを襲った4件目の重大なセキュリティ欠陥であり、CVE-2025-68613、CVE-2025-68668(N8scape)、およびCVE-2026-21877の公開に続くものです。前例と異なり、CVE-2026-21858は認証を一切必要とせず、Content-Typeヘッダーに関する根本的なロジックの不整合を悪用します。
技術的には、問題はn8nが受信したWebhookおよびフォームのリクエストを解析する方法にあります。リクエストを受け取ると、プラットフォームはContent-Typeを評価して適切なハンドラーを選択します。通常、multipart/form-dataはファイルアップロード用パーサーを起動し、それ以外のタイプは標準のボディパーサーを使用します。Cyeraの研究者は、フォーム送信ハンドラーがコンテンツタイプを検証しないままファイル処理関数を呼び出すという危険な状況を特定しました。この見落としにより、攻撃者はファイルパスのパラメータを指定するオブジェクトを手動で構築できます。
実際の影響は深刻です。正当なアップロードを処理する代わりに、システムは機密のローカルファイルを複製するよう強制されます。その後のワークフロー内の任意のステップは、この盗まれたデータを通常のユーザーアップロードとして扱います。具体的な構成によっては、侵入者が設定ファイル、暗号鍵、認証トークン、あるいはバックエンドデータベース全体を流出させる可能性があります。
特に重要なシナリオとして、フォームベースのワークフローでアップロードされた仕様ファイルに依存するチャットインターフェースが挙げられます。攻撃者はこの欠陥を悪用してn8nデータベース(database.sqliteなど)にアクセスし、管理者識別子とパスワードハッシュを抽出し、設定から暗号化シークレットを取得できます。これらを入手すれば、攻撃者はセッションを偽造して認証を完全に回避できます。管理者権限を確保した後は、「Execute Command」ノードの統合により、リモートコード実行(RCE)への入口が開かれます。
Cyeraは、n8nがAPIキー、OAuthトークン、クラウドサービスや内部データベースの認証情報など、組織にとって最も貴重な資産の中央リポジトリとして機能することが多い点を強調しています。その結果、単一インスタンスの侵害が、より広範なインフラ全体のセキュリティを即座に崩壊させる引き金となり得ます。
この脆弱性は、バージョン1.65.0まで(同版を含む)のn8nのすべてのリリースに影響し、バージョン1.121.0で決定的な修正が提供されています。ユーザーは直ちに修正済みリリースへ移行するよう強く求められます。さらに、n8nインスタンスを公開インターネットに露出させないこと、すべてのフォームに認証を必須とすること、そして—直ちに更新できない場合は—すべての公開Webhookおよびフォームのエンドポイントへのアクセスを一時的に制限することが推奨されます。
翻訳元: https://meterpreter.org/the-ni8mare-scenario-critical-n8n-vulnerability-grants-full-server-access/
