米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は、ハッカーがワークフロー自動化プラットフォームn8nの最大深刻度リモートコード実行(RCE)脆弱性を悪用していることを確認しました。
CISAは、ほぼ完璧な9.9の脆弱性スコアを持つため、すべての連邦民間行政機関(FCEB)がCVE-2025-68613をただちにパッチすることを促しました。
バグは最初に12月に開示され、Resecurityなどのベンダーは、n8nの約230,000人のアクティブユーザーのうち、103,000人以上が脆弱であるように見えると述べました。
CVE-2025-68613は、オープンソースのワークフロー自動化プラットフォーム上でRCEにつながる可能性があり、潜在的な結果は単純なデータ盗難から全面的なサプライチェーン侵害にまで及ぶ可能性があります。
この脆弱性はn8nとそのエクスプレッション評価エンジンに影響を及ぼし、これらはシステム全体の運用タスクを自動化するために一般的に使用されています。
n8nのアドバイザリーは、特定の条件下では、認証されたアタッカーが検証なしで実行されるエクスプレッションにペイロードを注入できると述べています。
「成功した悪用は、機密データへの不正アクセス、ワークフローの変更、システムレベルの操作の実行など、影響を受けたインスタンスの完全な侵害につながる可能性があります」と述べています。
簡潔に言えば、低特権アカウントへのアクセス権を持つアタッカーがn8nインスタンス全体の制御を引き継ぎ、ワークフローを変更することでパスワードなどの秘密情報にアクセスしたり悪意のあるコードをプッシュしたりするなど、他にも悪質な行為を行う可能性があるということです。
n8nはバグをv1.122.0でパッチしましたが、CISAがそれをKEVリストに追加した通知を考えると、一部の組織がアップグレードしていないようです。
FCEB機関は3月25日までに安全なバージョンを実行していることを確認する必要があります。
プロジェクトメンテナーはCVE-2025-68613が最初に開示されてから数週間の困難を経験しました。9.9の脆弱性に対するパッチは機能しましたが、Cyera研究者が彼らが「ni8mare」と呼ぶ10.0深刻度のバグについて通知した後、プロジェクトは他の修正を考案するのに時間を費やすことを余儀なくされました。
CVE-2026-21858(10.0)は年の初めに開示された別のRCEバグですが、このバグはWebhookの不適切な処理のため、認証なしでn8nインスタンスへのアタッカーの自由な支配を可能にしました。
その後、2月初旬に単一のCVE識別子CVE-2026-25049(CVSS 9.4)の下で追跡された脆弱性のコレクションが現れました。
n8nはこれらの欠陥がCVE-2025-68613にもっと密接に似ており、プラットフォームのエクスプレッション評価エンジンを悪用する追加の方法を提供していると述べました。
「CVE-2025-68613に続いて、n8nのエクスプレッション評価における追加の悪用が特定され、パッチされました」とn8nはアドバイザリーで述べました。
「ワークフローを作成または変更する権限を持つ認証されたユーザーは、ワークフローパラメータ内の作成されたエクスプレッションを悪用して、n8nを実行しているホスト上の意図しないシステムコマンド実行をトリガーする可能性があります。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/12/cisa_n8n_rce/
