Web3セキュリティ専門誌読者の皆様へ緊急警告です。広く利用されているワークフロー自動化プラットフォーム「n8n」において、極めて重大なセキュリティ脆弱性(CVE-2026-21858)が公表されました。Cyera Research Labsによって「Ni8mare」とコードネームが付けられたこの脆弱性は、CVSSスコア10.0という最大深刻度に分類されています。本脆弱性は、認証を受けていないリモートの攻撃者が、影響を受けるn8nインスタンスに対する完全な制御権を奪取することを可能にします。
n8nは、その自動化能力の高さから、Web3エコシステム内でもデータの取得、通知の送信、あるいは特定のDeFiプロトコルやインフラ管理ボットのオペレーションを自動化するために採用されています。もし攻撃者がこの脆弱性を悪用し、Web3関連のバックエンドインフラに接続されたn8nインスタンスを乗っ取った場合、結果として鍵管理システムへの不正アクセス、重要なオラクルデータフィードの操作、さらには自動化されたスマートコントラクト運用への干渉など、深刻な二次被害を引き起こす可能性があります。
全てのWeb3プロジェクトおよび開発者は、利用しているn8nインスタンスのバージョンを確認し、直ちにベンダーが提供するパッチを適用することが必須です。この種のサプライチェーン攻撃を防ぐため、外部依存ツールのセキュリティ状態を常に監視する体制が求められます。
Source: Critical n8n Vulnerability (CVSS 10.0) Allows Unauthenticated Attackers to Take Full Control
コメント