オープンソースのワークフロー自動化プラットフォームである n8n は、最近、リモートでコード実行される重大な脆弱性 CVE-2026-21877 を公表し、CVSS スコアは 10 点満点中 10.0 点で、最高レベルのリスクと評価されました。 特定の条件下では、認証されたユーザーが任意のファイルに書き込むことで、サービスが信頼できないコードを実行するトリガーとなり、影響を受けたインスタンスを完全に乗っ取ることができ、データ漏洩、設定の改ざん、さらには横移動攻撃につながる可能性があります。
この脆弱性は、自分で構築したデプロイメントとn8nクラウドの両方に影響し、≥0.123.0から以下のバージョンに影響します。 <1.121.3.この問題はバージョン1.121.3で修正されており、リスクを完全に排除するために、できるだけ早くこのバージョン以上にアップグレードすることが強く推奨されます。 アップデートを当面停止できない場合、管理者は悪用の可能性を減らすため、Gitノードを一時的に無効化し、n8nサービスへのアクセスを信頼できるユーザーのみに制限することが推奨される。 ネットワーク・セキュリティ・チームは、関連する資産の露出をチェックし、異常な実行動作を継続的に監視することに重点を置くべきである。
