人気の自動化プラットフォームn8nに存在する重大なセキュリティ脆弱性により、攻撃者がシステムを完全に掌握できる可能性がある。
jittawit21 – shutterstock.com
セキュリティベンダーCyeraの研究者は、ワークフロー自動化プラットフォームn8nに深刻な脆弱性を発見した。これにより攻撃者は任意のコードを実行できる。専門家によれば、この方法で影響を受ける環境を完全に掌握される恐れがあるという。
深刻な影響
調査報告によると、10万台のサーバーが影響を受ける。この脆弱性はCVSSの最高値である10.0と評価され、CVE-2026-21858として識別されている。セキュリティ専門家は、この欠陥が甚大な影響をもたらすと警告している。
n8nは広く普及しているオープンソースの自動化ツールである。多くの企業が、チャットアプリ、フォーム、クラウドストレージ、データベース、サードパーティのAPIを相互に連携させるために利用している。NPMデータベースに示されているとおり、関連パッケージは現在、週あたり約6万回ダウンロードされている。
Cyeraの研究者によれば、多くのn8nシステムには、Google Drive、Salesforce、決済サービスなどにおける社内データへのアクセスを可能にする情報のほか、APIキー、OAuthトークン、顧客データ、CI/CDパイプラインなどが保存されているという。
攻撃の仕組み
セキュリティ専門家によると、問題の原因はn8nがWebhookを処理する方法にある。Webhookでは、Webフォーム、メッセージングプラットフォーム、通知サービスなど外部システムからデータが到着するとワークフローが開始される。いわゆる「Content-Type Confusion(コンテンツタイプ混同)」の欠陥を悪用することで、攻撃者はHTTPヘッダーを改ざんし、アプリケーションが使用する内部変数を上書きできる。これにより、基盤となるシステムから任意のファイルを読み取り、RCE(Remote Code Execution:リモートコード実行)攻撃を開始できる。
研究者は、この攻撃をNi8mareと呼び、ファイルアップロードで内容を追加できるナレッジベースを例に実演している。それによれば、攻撃者はこの脆弱性を利用して認証情報をそこにコピーし、その後に管理者権限を取得できるという。
Cyeraによると、同社は2025年11月の時点でこの脆弱性についてn8nの開発者にすでに通知していたという。その後、バージョン1.121.0 でパッチが提供された。
翻訳元: https://www.csoonline.com/article/4114963/ni8mare-kritische-n8n-lucke-bedroht-100-000-server.html
