概要
ワークフロー 作成・編集 権限 を 持つ ユーザー が、Data Table Get ノード で SQL インジェクション を 実行 可能 な 脆弱性 が 存在 します。デフォルト の SQLite データベース 環境 で は 単一 ステートメント 操作 に 限定 されます が、PostgreSQL 環境 で は マルチ ステートメント 実行 が 可能 で あり、データ の 改変・削除 に 繋がる 重大 な リスク が あります。n8n 1.123.26 / 2.13.3 / 2.14.1 で 修正 されました。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 8.8(High) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑 さ | 低 |
| 必要 な 特権 レベル | 低(ワークフロー 作成・編集 権限) |
| ユーザー 関与 | 不要 |
| CWE | CWE-89(SQL Injection) |
影響 を 受ける ソフトウェア
| 製品 | 影響 バージョン | 修正 バージョン |
|---|---|---|
| n8n | < 1.123.26 | 1.123.26 |
| n8n | < 2.13.3 | 2.13.3 |
| n8n | < 2.14.1 | 2.14.1 |
修正 バージョン と 回避策
- 修正 バージョン: n8n 1.123.26、2.13.3、2.14.1
- 直ちに 修正 バージョン へ の アップデート を 推奨 します
- 特に PostgreSQL を バックエンド に 使用 している 環境 で は マルチ ステートメント 実行 に よる データ 破壊 の リスク が 高い ため、早急 な 対応 が 必要 です
- ワークフロー の 作成・編集 権限 を 必要 最小限 の ユーザー に 制限 する こと で リスク を 軽減 できます
- Data Table ノード を 使用 する ワークフロー を 監査 し、不審 な クエリ が ないか 確認 して ください
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。