【要点】
◎n8nに深刻なRCE脆弱性が判明し、無制限なファイルアップロードによりインスタンス乗っ取りの恐れがあったが、2025年11月の更新で修正された。 (Security NEXT)
【脆弱性内容】
| 公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v3 |
CWE |
脆弱性 |
KEV |
備考 |
|---|---|---|---|---|---|---|---|---|---|
| 2026/01/08 | 2026/01/05 | CVE-2026-21877 | NVD | n8n-io n8n-io |
9.9(GitHub) |
CWE-94 CWE-434 |
コード・インジェクション 危険なタイプのファイルの無制限アップロード |
- | n8n |
【要約】
ワークフロー実行ツールn8nに、リモートから任意のコードを実行されるおそれがある重大な脆弱性「CVE-2026-21877」が判明した。本脆弱性は、認証済みユーザーが特定条件下で無制限にファイルをアップロードできる実装不備に起因し、インスタンス全体を乗っ取られるリスクがある。CVSSv3.1の基本値は9.9と評価され、重要度は最も高い「クリティカル」に分類された。n8nは本問題を2025年11月26日公開のバージョン1.121.3で修正済みとしている。アップデートが困難な場合は、Gitノードの無効化や信頼できないユーザーのアクセス制限といった暫定的な緩和策を取るよう呼びかけている。
【ニュース】
◆「n8n」に深刻なRCE脆弱性 - 2025年11月の更新で修正済み (Security NEXT, 2026/01/07)
https://www.security-next.com/179373
