概要
ワークフロー 作成・編集 権限 を 持つ ユーザー が、XML ノード および GSuiteAdmin ノード の 設定 パラメータ を 細工 する こと で、Object.prototype に 攻撃者 が 制御 する 値 を 書き込める プロトタイプ 汚染 脆弱性 が 存在 します。プロトタイプ 汚染 に より、Node.js の ランタイム 動作 が 改変 され、リモート コード 実行(RCE)に 繋がる 可能性 が あります。n8n 2.14.1 / 2.13.3 / 1.123.27 で 修正 されました。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 8.8(High) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑 さ | 低 |
| 必要 な 特権 レベル | 低(ワークフロー 作成・編集 権限) |
| ユーザー 関与 | 不要 |
| CWE | CWE-1321(Prototype Pollution) |
影響 を 受ける ソフトウェア
| 製品 | 影響 バージョン | 修正 バージョン |
|---|---|---|
| n8n | < 2.14.1 | 2.14.1 |
| n8n | < 2.13.3 | 2.13.3 |
| n8n | < 1.123.27 | 1.123.27 |
修正 バージョン と 回避策
- 修正 バージョン: n8n 2.14.1、2.13.3、1.123.27
- 直ちに 修正 バージョン へ の アップデート を 推奨 します
- ワークフロー の 作成・編集 権限 を 必要 最小限 の ユーザー に 制限 する こと で リスク を 軽減 できます
- XML ノード や GSuiteAdmin ノード を 使用 する ワークフロー を 監査 し、不審 な 設定 が ないか 確認 して ください
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。