2026/01/08 CyberSecurityNews — 人気のワークフロー自動化プラットフォームである n8n に、未認証でのリモートコード実行の脆弱性 CVE-2026-21858 (CVSS:10.0) が発見された。この深刻な脆弱性 (通称:Ni8mare) により、世界中で推定 10 万台のサーバに侵害の可能性が生じている。この脆弱性を悪用する未認証の攻撃者は、警告をトリガーすることなく任意のシステム・コマンドを実行し、その結果としてホストを完全に侵害できる。この脆弱性の影響が及ぶ範囲は、n8n のバージョン 1.121.0 未満である。特に、インターネットに公開されているセルフホスト型の導入において、最大のリスクが生じる。
Censys のデータによると、現時点で 26,512 の脆弱なホストが追跡可能であり、インターネットからアクセス可能な状態にある。これらのホストは、日和見的な攻撃者と高度な脅威アクターからの、差し迫った脅威にさらされている。
n8n は、エンタープライズ自動化インフラのバックボーンを担う存在である。1億回以上の Docker pull と、数千の企業において導入実績を持つプラットフォームは、組織のワークフローを接続する中心的な統合ポイントとして機能する。Google Drive や Salesforce から、決済処理事業者/顧客データベース/CI/CD パイプラインに至るまで、あらゆるシステムを連携させている。
侵害された n8n インスタンスは、ユーザー組織のデジタル・インフラ全体に対するマスターキーとなる。
この脆弱性が成立する要因は、n8n の Webhook コンポーネントにおける受信リクエスト解析処理に存在する。この問題は、微細だが深刻な欠陥を生み出している。この Form Webhook ノードは、ファイルアップロード処理の前に Content-Type ヘッダーを検証していない。その利用範囲は広く、履歴書アップロード用の人事システム/ファイル送信用の顧客ポータル/企業のナレッジベース・プラットフォームなどで多用されている。
この欠陥を悪用する攻撃者は、リクエスト解析ロジックを操作できる。さらに、ファイル処理メカニズムをオーバーライドできる。
認証バイパスからコード実行へ
CYERA が公開したエクスプロイト・チェーンは、Content-Type コンヒュージョン攻撃から始まる。攻撃者が Content-Type ヘッダーを “multipart/form-data” から “application/json” に変更すると、ミドルウェアはファイル・アップロード用パーサーではなく、通常のボディ・パーサーを呼び出す。
これにより、攻撃者は “req.body.files” オブジェクトに任意のファイル・パスを挿入できる。結果として、通常はパス・トラバーサル攻撃を防止する Formidable のセキュリティ保護が回避されてしまう。
攻撃者がファイルパス・パラメータを制御すると、n8n ホストから任意のローカルファイルを読み取れる。この任意ファイル読み取りのプリミティブが、権限昇格の基盤となる。
n8n は、ユーザーの認証情報と認証シークレットを暗号化しない形式でローカル・ディスクに保存する。通常において、データベースは “/home/node/.n8n/database.sqlite” に保存される。その一方で、暗号化シークレットは “/home/node/.n8n/config” に保存される。
脆弱性 CVE-2026-21858 を悪用する攻撃者は、これらの設定ファイルを Form ノード経由で組織のナレッジベースにロードできる。その結果として、管理者ユーザーの認証情報と JWT 署名シークレットが抽出されてしまう。
この情報を入手した攻撃者は、有効な認証 Cookie を偽造できる。したがって、実際のパスワードを知らなくても、すべての認証メカニズムをバイパスし、システム管理者としてログイン可能となる。
管理者として認証されると、コード実行は容易である。n8n の “コマンド実行” ノードにより、ユーザーは任意のシステム・コマンドを実行できる。
攻撃者が作成するのは、このノードを含む新たなワークフローだけである。コンテナ化されたデプロイメントでは、通常は root として実行される n8n プロセスと同一の権限で、悪意のコマンドを実行できる。
この段階で、攻撃範囲は壊滅的に拡大する。攻撃者は、n8n 内に保存されているすべての API 認証情報/OAuth トークン/データベース接続文字列/クラウド・ストレージ認証情報にアクセス可能となる。数千人の従業員が、単一の n8n インスタンスを介して自動化を集中管理する大規模企業では、インフラ全体の侵害に至ることになる。
この攻撃の影響は、単一システムの侵害に留まらない。たとえば、ある Fortune 500 企業が n8n を用いて、部門横断の自動化をオーケストレーションしているケースを想定してほしい。人事ワークフローは従業員データを処理する。財務オートメーションは支払い処理を担う。運用チームはクラウドインフラを管理する。エンジニアリング・チームは CI/CD パイプラインと統合している。
侵害された n8n インスタンスは、組織全体のテクノロジー・スタックにおけるラテラル・ムーブメントの拠点となる。
攻撃者は、n8n と接続するシステムにマルウェアを展開できる。さらに、企業秘密や顧客情報などの機密データを窃取できる。それらに加えて、金融取引の操作/開発パイプラインの侵害/長期的なアクセス確保のための永続的バックドアの確立も可能となる。
すでに n8n は、2025年11月18日 にバージョン 1.121.0 をリリースし、この深刻な欠陥に対処している。セキュリティ・コミュニティにとって必要なことは、すべてのインスタンスに対して、この最新バージョンを速やかに展開することだ。
ユーザー組織は、以下の対策を実施する必要がある。
- n8n をバージョン 1.121.0 以降に直ちにアップデートする。
- n8n インスタンスがインターネットに直接公開されるコンフィグを可能な限り制限する。
- すべての Form ノードに認証を必須とする。
- すべてのワークフローと保存済み認証情報に不正な変更がないか監査する。
2025年11月9日の初回の報告から 2026年1月6日の CVE 割り当てまでの責任ある開示タイムラインは、n8n セキュリティ・チームが脆弱性対応に迅速に取り組んだ姿勢を示している。
その一方で、パッチリリースから、広範な展開に至るまでの期間は、数千の脆弱なインスタンスが依然としてリスクにさらされる、深刻な脆弱性ウィンドウである。
現在のインターネット・スキャンで確認されている、26,512 の脆弱な n8n インスタンスは、依然としてアクティブな脅威サーフェスである。ユーザー組織にとって必要なことは、脆弱性 CVE-2026-21858 の修正を最優先事項とし、自動化プラットフォームへの外部アクセスを遮断するためにネットワーク・セグメンテーションを実施することだ。
n8n は統合ハブとして中核的な役割を担う。そのため、この脆弱性はワークフロー自動化インフラを運用する企業にとって、最も優先度の高いセキュリティ課題の一つである。
自動化プラットフォーム n8n で発見された、きわめて深刻な脆弱性 Ni8mare について解説する記事です。この問題の原因は、外部からのリクエストを受け取る Webhook ノードに存在する、データの種類を判別する処理の不備にあります。本来であれば、ファイルアップロード用の処理を通るべきデータが、設定を少し書き換えられるだけで、システムの設定ファイルを読み取る処理へとリダイレクトされる状態になっていました。この経路を通る攻撃者は、n8n に保存されている大切な認証情報を盗み出せてしまいます。n8n は多くのアプリを連携させるハブの役割を担っているため、ここが突破されると、すべてのシステムへの門戸が開かれてしまう点が非常に危険です。ご利用のチームは、ご注意ください。よろしければ、n8n での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.