2026年1月9日付のShadowserver Foundationによる開示によると、10万5,000件を超えるn8nのワークフロー自動化インスタンスが、重大なリモートコード実行(RCE)脆弱性を抱えたままインターネットに露出していることが判明しました。
この憂慮すべき発見は、同プラットフォームを稼働させる総計230,562件のIPアドレスのうち、検出されたn8n導入の約46%が、認証なしで悪用可能な状態のままであることを示しています。
この脆弱性はCVE-2026-21858として追跡され、最大のCVSSスコアである10.0が割り当てられており、最も深刻なレベルであることを示しています。
このリモートコード実行の欠陥により、攻撃者は脆弱なn8nサーバー上で任意のコードを実行でき、機密性の高い業務データやシステム認証情報を保管していることが多いシステムを完全に制御できる可能性があります。
この露出規模は、ワークフロー自動化と統合のためにn8nに依存する各業界の組織にとって重大な脅威となります。
CVE-2026-21858はn8nの認証メカニズムにおける重大な脆弱性であり、未認証の攻撃者が露出したインスタンス上で任意のコードを実行できるようにします。
十分なセキュリティ強化が施されないままn8nインスタンスが広範に展開されていることで、脅威アクターにとって大きな攻撃対象領域が生まれています。
セキュリティ研究者およびShadowserver Foundationは、インターネット露出と認証バイパス機能の組み合わせにより、この脆弱性が特に、マルチテナント環境や統合が多い環境を管理する組織にとって危険であると警告しています。
この脆弱性の影響は個々の組織にとどまらず、侵害されたn8nインスタンスが業務ネットワーク内でのラテラルムーブメントの足掛かりとなり得ます。特に、これらのワークフロー自動化プラットフォームが通常アクセスする接続先システムやデータストアが標的となります。
Shadowserver Foundationは、Vulnerable HTTPレポートを通じて詳細なスキャンデータを提供しており、ネットワーク管理者が自組織のインフラ内で影響を受けるシステムを特定できるようにしています。
組織はShadowserverの報告インフラを通じて、包括的なダッシュボード、ツリーマップの可視化、IP別データにアクセスし、自社のネットワーク範囲を開示された脆弱なインスタンスと照合できます。
セキュリティチームは直ちに、いくつかの重要な対応を実施すべきです。導入のセキュリティ設定を検証し、n8nが提供する利用可能なパッチを適用し、不審な活動がないかアクセスログを監査し、ファイアウォールルールまたはネットワークセグメンテーションによりn8nインスタンスのインターネット露出を制限してください。
深刻度が極めて高く、露出したシステム数も多いことから、脆弱性の是正はエンドポイント検知・対応(EDR)と並行して優先的に進めるべきです。
この発見は、機密インフラや業務認証情報へのアクセスを必要とするインターネット向け自動化プラットフォームに対して、定期的なセキュリティ評価と迅速なパッチ管理が重要であることを浮き彫りにしています。
翻訳元: https://cyberpress.org/over-100000-internet-exposed-n8n/