つみかさね
Top/Security/CVE一覧/CVE-2026-27577

CVE-2026-27577

Critical(9.9)

CVE-2026-27577 — n8n 式評価における任意コード実行

公開日: 2026-03-05データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
n8nn8n-io2.10.1 / 2.9.3 / 1.123.22 未満
CVEn8nコードインジェクション式評価

概要

ワークフロー自動化プラットフォーム n8n の式評価機能に、追加のエクスプロイトが特定されました(CVE-2025-68613 のフォローアップ)。ワークフローの作成・編集権限を持つ認証済みユーザーが、細工された式をワークフローパラメータに設定することで、n8n ホスト上で意図しないシステムコマンドを実行できます。

CVE-2026-27495 と合わせて、n8n のセルフホスト環境に対する深刻な脅威となっています。

CVSSベクトル

項目
CVSSスコア9.9
深刻度Critical
CWECWE-94 (コードインジェクション)

影響を受けるソフトウェア

製品ベンダー影響バージョン
n8nn8n-io2.10.1 / 2.9.3 / 1.123.22 未満

修正バージョンと回避策

  • 修正バージョン: n8n 2.10.1 / 2.9.3 / 1.123.22
  • 暫定回避策:
    • ワークフローの作成・編集権限を完全に信頼できるユーザーのみに制限
    • OS権限とネットワークアクセスを制限したハードニング環境にデプロイ

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-27495n8n Task Runner サンドボックス脱出CVSS 9.9CVE-2026-27497n8n Merge ノード SQL クエリモードによるコード実行CVSS 8.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-27577
GHSA:https://github.com/n8n-io/n8n/security/advisories/GHSA-vpcf-gvg4-6qwr
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。