Critical n8n Vulnerability Exposes 103,000+ Automation Instances to RCE Attacks
2025/12/23 gbhackers — 人気のオープンソース・ワークフロー自動化プラットフォーム n8n に、深刻なリモートコード実行の脆弱性が発見された。この脆弱性 CVE-2025-68613 の CVSS スコアは 9.9 である。認証された攻撃者であれば、n8n のプロセス権限で任意のコードを実行できるため、インスタンスが完全に侵害されるリスクが生じる。2025年12月19日に公開された情報によると、この脆弱性は n8n のワークフロー式評価システムにおける分離不足に起因するとのことだ。
この脆弱性を悪用する認証済みのユーザーであれば、ワークフロー設定時に特別に細工された式を入力することで実行コンテキストの保護を回避し、基盤となるランタイム上で任意のコードを実行できる。
| Field | Description |
|---|---|
| CVE-ID | CVE-2025-68613 |
| CVSS Score | 9.9 (Critical Severity) |
| Vulnerability Type | Remote Code Execution (RCE) |
| Attack Vector | Network |
悪用に成功した攻撃者は、機密データへの不正アクセス/ワークフロー変更機能の操作に加えて、システム・レベルでのリモートコード実行を可能にするため、自動化インフラ全体が侵害される恐れがある。
脆弱性 CVE-2025-68613 の詳細と攻撃ベクター
この脆弱性が影響を及ぼす範囲は、n8n バージョン 0.211.0〜1.120.3/1.121.0 および 1.122.x 未満となる。
その一方で、SecureLayer7 のセキュリティ研究者たちは、すでに PoC エクスプロイト・コードを公開している。しかし、この記事の執筆時点では、実際に悪用された事例は確認されていない。
この攻撃の前提として、脅威アクターは有効な認証情報によるログインを必要とする。ただし、ワークフロー編集権限が広範囲に分散されている環境では、この要件によるリスク軽減につながるとも思えない。
この脆弱性の深刻度は、n8n 環境における実行コンテキストの特権的な位置付けに起因している。
すでに n8n は、パッチ適用済みバージョン 1.120.4/1.121.1/1.122.0 をリリースし、この深刻な脆弱性に対処している。ユーザー組織にとって必要なことは、これらのパッチ適用済みリリースに直ちにアップグレードすることである。
この脆弱性の深刻度を踏まえ、n8n は緊急の対策を強く推奨している。その攻撃対象領域は、103,000 件を超える脆弱なインスタンスに広がっている。
迅速なパッチ適用が不可能な組織に対して、n8n は一時的な緩和策を推奨している。具体的に言うと、ワークフローの作成と編集権限を信頼できるユーザーのみに制限し、最小限の OS 権限と制限されたネットワーク・アクセスで強化される環境で、n8n を展開することである。ただし、これらは完全な保護を提供するものではなく、適切なパッチが適用されるまでの短期的な緊急策である。
Censys が特定したのは、インターネット上に存在する潜在的に脆弱な n8n インスタンス 103,476 件である。それらは世界中に分布しているが、地域により集中度が異なる。
このプラットフォームは、エンタープライズ自動化エコシステムにおいて、特に複雑なマルチシステム・ワークフローを管理する組織において広く採用されている。
したがって、この脆弱性は、深刻なサプライチェーン・リスクを示唆する。侵害された n8n インスタンスは、上流/下流のシステムへの侵入口となり、自動化を実行している組織に影響を及ぼす。さらに言えば、接続されたデジタル・エコシステム全体に影響を及ぼす可能性がある。
セキュリティ・チームにとって必要なことは、自社環境内に導入されている n8n を直ちに特定し、現在のバージョン番号を確認した上で、パッチ適用済みバージョンへと優先的にアップグレードすることだ。
重要なビジネス・プロセスに n8n を活用している組織は、この脆弱性を緊急のセキュリティ・インシデントとして取り扱うべきだ。経営陣による迅速な対応とリソース配分が求められる。
この問題の原因は、n8n がワークフロー内で計算や処理を行う式 (エクスプレッション) を評価する仕組みにおいて、安全な実行環境 (サンドボックス) からの分離が不十分だったことにあります。本来であれば、ユーザーが入力した処理は制限された範囲内だけで動くべきですが、この不備により、システム自体を操作する命令までもが実行できる状態になっていました。この脆弱性の悪用は、ログイン権限を持つユーザーだけに限定されるタイプのものですが、自動化しているシステム全体に影響が及ぶ可能性があるため、非常に高い深刻度が設定されています。ご利用のチームは、ご注意ください。よろしければ、カテゴリー SupplyChain も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.