人気の自動化プラットフォームn8nにある最大深刻度のバグにより、推定10万台のサーバーが完全な乗っ取りに対して無防備な状態に置かれている。しかも、この欠陥はログインすら不要という、あまりにひどいものだ。
この脆弱性は、セキュリティ企業Cyeraの研究者によって発見されたもので、CVSSスコアは10.0。理由あって「ni8mare」と名付けられた。CVE-2026-21858として追跡されているこの欠陥により、未認証の攻撃者が脆弱なシステム上で任意のコードを実行でき、影響を受ける環境の完全な制御権を事実上引き渡してしまう。パッチ適用以外に回避策はなく、ユーザーはn8nをバージョン1.121.0以降へアップグレードするよう強く推奨されている。
n8nはセルフホスト可能なオープンソースの自動化ツールで、多くの組織がチャットアプリ、フォーム、クラウドストレージ、データベース、サードパーティAPIをつなぎ合わせるために利用している。Dockerのプル数は1億回超をうたい、数百万人のユーザーと数千社が、社内ワークフローから顧客向けプロセスまであらゆる自動化に使っているという。
Cyeraによれば、問題の根はn8nがWebhookを処理する方法にある。Webhookとは、Webフォーム、メッセージングプラットフォーム、通知サービスなど外部システムからデータが届いた際にワークフローを起動する仕組みだ。いわゆる「Content-Type Confusion(コンテンツタイプ混同)」の問題を悪用することで、攻撃者はHTTPヘッダーを操作し、アプリケーションが使用する内部変数を上書きできる。結果として、基盤となるシステムから任意のファイルを読み取れるようになり、攻撃を完全なリモートコード実行へとエスカレートできる。
平たく言えば、ネットワーク越しに脆弱なn8nインスタンスへ到達できる者なら誰でも、資格情報なしでそれを完全に掌握し、そのインスタンスが接続しているあらゆるシステムへ横展開できてしまう。
Cyeraの研究者Dor Attiasはこう述べている。「従業員1万人超の大企業で、誰もが使うn8nサーバーが1台ある状況を想像してください。n8nインスタンスが侵害されることは、単に1つのシステムを失うという意味ではありません。攻撃者にすべての鍵を渡すことになります。API認証情報、OAuthトークン、データベース接続、クラウドストレージ――すべてが1か所に集約されているのです。」
この集約こそが、この欠陥を極めて危険にしている。n8nは組織のデジタル資産全体にまたがるワークフローをオーケストレーションするため、高価値の秘密情報と広範なアクセス権を託されがちだ。
「侵害されたn8nの被害範囲は甚大です」とAttiasは警告する。「n8nは無数のシステム、組織のGoogle Drive、OpenAIのAPIキー、Salesforceのデータ、IAMシステム、決済処理業者、顧客データベース、CI/CDパイプラインなど、さらに多くを接続しています。自動化インフラの中枢神経なのです。」
Cyeraは、問題が開示されるとn8nが迅速に対応したとしている。同社によれば、脆弱性は2025年11月9日に非公開で報告され、翌日にn8nのセキュリティチームが問題を確認した。修正は11月18日、1.121.0リリースの一部としてひっそりと提供され、今週このバグにCVE識別子が公的に割り当てられる数週間前のことだった。
n8nはThe Registerからの質問に直ちには回答しなかった。
このパッチは大きな注目を集めないまま提供されたため、特に上流の勧告が必ずしも読まれないセルフホスト環境では、いまだ脆弱なバージョンを運用している組織があるかもしれない。ソフトウェアの利用が広範であることを考えると、未パッチのまま放置するのは、手早く高価値の標的を狙う攻撃者に対する公然の招待状だ。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/08/n8n_rce_bug/
