【要点】
◎n8nに認証不要でリモートコード実行が可能な重大脆弱性Ni8mareが発見され、任意ファイル読取や権限回避の恐れが判明した。 (Gigazine)
【脆弱性内容】
| 公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v3 |
CWE |
脆弱性 |
KEV |
備考 |
|---|---|---|---|---|---|---|---|---|---|
| 2026/01/07 | 2026/01/05 | CVE-2026-21858 | NVD | n8n-io | 10.0(GitHub) |
CWE-20 | 不適切な入力確認 | - | n8n, 別名: Ni8mare |
【要約】
Cyeraの研究チームは、ワークフロー自動化ツールn8nに認証不要でリモートコード実行が可能となる重大な脆弱性「Ni8mare(CVE-2026-21858)」を発見した。本脆弱性はWebhookのcontent-type処理不備を突くもので、細工したリクエストにより任意ファイルの読み取り、機密情報の窃取、セッションCookie偽造、さらにはコマンド実行に至る可能性がある。n8nは、未認証の攻撃者により深刻な侵害が生じ得ると警告し、2025年11月9日に報告を受け、バージョン1.121.0で修正した。公式な回避策はなく、暫定対応として公開Webhookやフォームエンドポイントの制限・無効化が推奨されている。
【ニュース】
◆ワークフロー自動化ツール「n8n」で攻撃者が認証不要のリモートコード実行が可能になる脆弱性が発見される (Gigazine, 2026/01/09 06:00)
https://gigazine.net/news/20260109-ni8mare-remote-code-execution-n8n/
