ワークフロー自動化プラットフォームn8nにおいて、認証不要でインスタンスの完全制御を許してしまう極めて深刻な脆弱性が発見されました。CVSSスコア10.0を記録し、「Ni8mare」(CVE-2026-21858)と名付けられたこの脆弱性は、Web3セキュリティコミュニティにとって見過ごせない脅威です。
n8nは、多くの開発チームやオペレーションチームが、バックエンドプロセス、データ同期、さらにはスマートコントラクトのデプロイメント前後の自動化など、重要なワークフロー構築に使用しています。認証されていない攻撃者がリモートからこの脆弱性を悪用した場合、プラットフォーム全体を完全に掌握し、機密情報へのアクセス、ワークフローの改ざん、あるいは悪意のあるコードの実行が可能となります。
特に、Web3プロジェクトにおいてn8nがシークレット管理や外部API連携、あるいはデプロイパイプラインの一部として利用されている場合、サプライチェーン攻撃の入り口となり得ます。編集部としては、n8nを利用している全てのWeb3関連組織に対し、直ちにパッチ適用等の緩和策を講じるよう強く推奨します。
Source: Critical n8n Vulnerability (CVSS 10.0) Allows Unauthenticated Attackers to Take Full Control
コメント