【要点】
◎n8nに今月3件目のクリティカル脆弱性。Python Code Nodeでサンドボックス回避が可能となり、2.0.0で修正済み。 (Security NEXT)
【脆弱性内容】
| 公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v3 |
CWE |
脆弱性 |
KEV |
備考 |
|---|---|---|---|---|---|---|---|---|---|
| 2025/12/26 | 2025/12/22 | CVE-2025-68668 | NVD | n8n-io | 9.9(NVD) 9.9(GitHub) |
CWE-693 | 保護メカニズムの不具合 | - | n8n |
【要約】
ワークフロー実行ツール「n8n」において、今月3件目となるクリティカル脆弱性(CVE-2025-68668)が公表された。本脆弱性は「Python Code Node」を利用した際にサンドボックスを回避できる問題で、ワークフローの作成・編集権限を持つユーザーがホストOS上で任意のコマンドを実行できる。CVSSv3.1のベーススコアは9.9と極めて高い。加えて、格納型XSS(CVE-2025-61914)や任意ファイルの読み書きが可能となる脆弱性(CVE-2025-68697)も判明している。前者は1.114.0で、後者2件は12月8日公開のn8n 2.0.0で修正済みであり、速やかなアップデートが強く推奨される。
【ニュース】
◆ワークフローツール「n8n」に今月3件目の「クリティカル」脆弱性 (Security NEXT, 2025/12/29)
https://www.security-next.com/179154
