概要

ワークフロー自動化プラットフォームのn8nにおいて、CVSSスコア10.0の重大な脆弱性（CVE-2026-21858）が発見されました。この脆弱性は、数万ものシステムに影響を与える可能性があり、サイバーセキュリティ業界に警鐘を鳴らしています。

脆弱性の詳細

セキュリティ研究機関Cyeraによると、この脆弱性は「コンテンツタイプ混同（content-type confusion）」バグを悪用することで、攻撃者がn8nの自動化機能を完全にバイパスできるというものです。n8nはAIエージェントやエンタープライズの自動化において重要なツールとされており、この環境が侵害された場合、Salesforce、AWS、OpenAIといったサービスを含む機密性の高い認証情報に広範なアクセスを許してしまうリスクがあります。

影響範囲と対策

Shadowserverの研究者は、当初10万5000以上の脆弱なインスタンスを確認しましたが、その後約5万9500に減少したと報告しています。また、Censysの研究者も2万6000以上の公開されたホストが存在すると報告しています。n8nは11月にこの脆弱性について通知を受け、11月18日にはパッチがリリースされました。ユーザーは直ちにバージョン1.121.0へのアップグレードが強く推奨されます。現時点では、この脆弱性が悪用されたという証拠は確認されていません。

元記事: https://www.cybersecuritydive.com/news/critical-vulnerability-n8n-automation-platform/809360/