n8nに超ヤバい脆弱性が!CVSS 9.9ってマジ!?
海外サイトの「The Hacker News」が報じるところによると、ワークフロー自動化プラットフォームとして人気の「n8n」に、とんでもないセキュリティ上の問題が見つかったそうです。その名も「CVE-2025-68613」、なんと脆弱性スコアが10点満点中9.9という、もうほぼ満点レベルの深刻さ!これ、悪用されると、攻撃者がn8nが動いているサーバーで好きなようにコードを実行できてしまう可能性があるんですって。
「CVSS 9.9」って、どれくらいヤバいの?
CVSS(Common Vulnerability Scoring System)っていうのは、脆弱性の危険度を測るための国際的な基準のこと。これが9.9ってことは、もう「極めて深刻」とか「緊急」とか、そういうレベルを通り越して、 pretty much 「今すぐなんとかしないとヤバい!」っていう状態なんです。
この脆弱性を悪用されると、具体的にはこんなことが起きちゃう可能性があるみたい。
- n8nが動いているサーバー上で、攻撃者が好きなプログラムを実行できてしまう
- 機密データへの不正アクセスや改ざん
- ワークフローの設定変更
- OSレベルの操作
つまり、n8nが動いている環境全体を乗っ取られてしまう危険性があるってことなんですね。
誰が、どうやって狙われるの?
この脆弱性は、npm(Node Package Manager)で約57,000もの週ダウンロード数を誇るn8nのパッケージに存在しています。影響を受けるのは、バージョン 0.211.0 から 1.120.4 までの範囲。ただし、バージョン 1.120.4、1.121.1、1.122.0 ではすでに修正済みとのこと。
攻撃するには、ある条件が揃う必要があるそうですが、それでも、10万以上ものインスタンスがこの脆弱性の影響を受けている可能性があるとされています。特にアメリカ、ドイツ、フランス、ブラジル、シンガポールなどで多くのインスタンスが見つかっているみたいですよ。
対策は?とにかくアップデート!
n8nを使っている皆さんは、速やかに最新バージョンにアップデートすることが強く推奨されています。もしすぐにアップデートが難しい場合は、
- ワークフローの作成や編集権限を、信頼できるユーザーだけに制限する
- n8nを、OSの権限を最小限にしたり、ネットワークアクセスを制限したりした、より安全な環境で運用する
といった対策で、リスクを軽減するようにしましょう。
まとめ:自動化ツールには常に注意が必要
ワークフロー自動化ツールは、業務効率を劇的に向上させてくれる一方で、その設定次第で大きなセキュリティリスクになり得ることを改めて教えてくれる事例ですね。今回のn8nの脆弱性のように、見過ごせない問題が潜んでいる可能性も。常に最新の情報をチェックして、安全にツールを活用していくことが大切です!