貴社が日々の業務処理にn8nを使用しているなら、今すぐバージョン番号を確認すべき時です。プラットフォームで重大なセキュリティ欠陥が見つかっており、深刻度は最上級です。企業Upwindは最近この問題の分析を公開し、これは「重大な認証済みリモートコード実行(RCE)脆弱性」だとしています。
簡単に言えば、ハッカーが侵入できた場合、システム全体を乗っ取れる可能性があるということです。参考までに、n8nは、さまざまなアプリやデータベースをつなぐ「接着剤」のような存在です。あらゆるデータの中継点に位置するため、ここにセキュリティの穴があるのは極めて重大です。
何が問題だったのか?
この欠陥は正式にはCVE-2026-21877と名付けられており、深刻度スコアは10.0で、これは取り得る中で最も高い危険度評価です。技術的には、任意ファイル書き込みの状態に起因します。つまり、ソフトウェアが、本来触れてはならない場所にファイルを保存できてしまうのです。研究者によると、これはシステムがデータ処理を開始する前に「信頼できない入力」を適切に二重チェックしていないことが原因で発生します。
このバグを発見したセキュリティ研究者Théo Lelasseuxは、これを悪用するには有効なログインが必要ではあるものの、いったん内部に入れば「n8nサービスによって信頼できないコードが実行される」状態を引き起こせると指摘しています。ご存じのとおり、これらのシステムは社内システム、認証情報、機密データへのアクセスを提供し得るため、侵入者は短時間で甚大な被害を与えかねません。
安全を保つ方法
この欠陥に関する調査はHackread.comと共有されました。判明したところによると、非常に広い範囲のバージョンが影響を受けており、具体的には0.123.0から1.121.3までが対象です。自社オフィスのサーバーでソフトウェアを運用している場合でも、マネージドのクラウド版を利用している場合でも、影響を受けている可能性が高いです。
対策はシンプルですが緊急です。この脆弱性に完全に対処するため、今すぐversion 1.121.3以上へ更新してください。現時点では、ハッカーがこれを悪用しているという報告はありませんが、確認が取れるまで待つべきではありません。更新に加えて、専門家はGitノードを無効化し、ワークフローの動作を変更できる権限を最上位の管理者のみに限定することを推奨しています。
翻訳元: https://hackread.com/n8n-users-patch-full-system-takeover-vulnerability/
