つみかさね

CVE-2025-68613

Critical(9.9)

CVE-2025-68613 — n8n ワークフロー式評価によるRCE

公開日: 2026-03-12データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
n8nn8n-io>= 0.211.0, < 1.120.4 / 1.121.1 / 1.122.0
CVEn8nRCEワークフロー自動化

概要

n8n はオープンソースのワークフロー自動化プラットフォームです。バージョン 0.211.0 以降のワークフロー式(expression)評価システムに、Critical な RCE 脆弱性が存在します。

ワークフロー設定時に認証済みユーザーが提供する式が、ランタイムから十分に分離されていない実行コンテキストで評価される場合があります。攻撃者はこの動作を悪用して、n8n プロセスの権限で任意のコードを実行できます。

攻撃が成功した場合、インスタンス全体の侵害につながり、機密データへの不正アクセス、ワークフローの改ざん、システムレベルの操作実行が可能です。

CVSSベクトル

項目
CVSSスコア9.9
深刻度Critical
CWECWE-913 (動的に管理されるコードリソースの不適切な制御)

影響を受けるソフトウェア

製品ベンダー影響バージョン
n8nn8n-io>= 0.211.0, < 1.120.4
n8nn8n-io>= 0.211.0, < 1.121.1
n8nn8n-io>= 0.211.0, < 1.122.0

修正バージョンと回避策

  • 修正バージョン: n8n 1.120.4 / 1.121.1 / 1.122.0 へのアップデート
  • 暫定回避策: ワークフローの作成・編集権限を完全に信頼できるユーザーのみに制限する。n8n を制限された OS 権限とネットワークアクセスで運用する

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2025-68613
GitHub Advisory:https://github.com/n8n-io/n8n/security/advisories/GHSA-v98v-ff95-f3cp
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。