プラットフォーム
nodejs
コンポーネント
n8n
修正版
1.123.23
2.0.1
2.10.1
1.123.22
CVE-2026-27493は、n8nのFormノードにおけるセカンドオーダーの式インジェクション脆弱性です。この脆弱性を悪用されると、認証されていない攻撃者がフォームデータを通じて任意のn8n式を注入・評価し、最悪の場合、リモートコード実行に至る可能性があります。影響を受けるバージョンは1.123.22以前です。開発者はバージョン1.123.22へのアップデートを推奨しています。
この脆弱性は、n8nのFormノードにおいて、ユーザーが提供するフォームデータが式として解釈される際に発生します。攻撃者は、特定の形式のフォームデータを送信することで、n8nの式を不正に操作し、任意のコードを実行できる可能性があります。特に、フォームフィールドの値が = で始まる場合、n8nはそれを式として解釈するため、攻撃が容易になります。この脆弱性がサンドボックスエスケープと組み合わせられると、n8nホスト上で完全にリモートコードを実行できるようになり、機密情報の窃取、システムの改ざん、さらにはシステム全体の制御権の奪取といった深刻な被害をもたらす可能性があります。類似の脆弱性は、他のワークフロー自動化ツールでも発生する可能性があり、注意が必要です。
CVE-2026-27493は、2026年2月25日に公開されました。現時点では、この脆弱性を悪用する公開PoCは確認されていませんが、脆弱性の深刻度から、今後悪用される可能性は高いと考えられます。CISA KEVリストへの登録状況は不明です。攻撃者は、n8nを導入している組織を標的とし、この脆弱性を悪用してシステムへの侵入を試みる可能性があります。
Organizations heavily reliant on n8n for workflow automation, particularly those with publicly accessible forms or integrations that accept user-provided input, are at significant risk. Environments with legacy n8n configurations or those lacking robust input validation practices are especially vulnerable. Shared hosting environments where multiple users share the same n8n instance also face increased risk due to the potential for cross-tenant exploitation.
• nodejs / server: Monitor n8n logs for unusual expression execution patterns or errors related to expression parsing. Use journalctl -u n8n to filter for relevant log entries.
• nodejs / server: Check for unexpected processes running under the n8n user account using ps aux | grep n8n.
• generic web: Inspect n8n access logs for suspicious requests containing = characters in form parameters, particularly those targeting form submission endpoints. Use curl -v <n8nformendpoint> to test for injection.
• generic web: Review n8n configuration files for any insecure expression handling practices.
disclosure
エクスプロイト状況
EPSS
0.23% (46% パーセンタイル)
CISA SSVC
この脆弱性への主な対策は、n8nをバージョン1.123.22以降にアップデートすることです。アップデートがすぐに適用できない場合は、フォームデータの入力を厳密に検証し、= で始まる入力値を許可しないように制限することで、攻撃のリスクを軽減できます。また、n8nの式サンドボックスのセキュリティ設定を強化し、式が実行できる範囲を制限することも有効です。Webアプリケーションファイアウォール(WAF)を導入し、不正なフォームデータの送信を検知・遮断することも検討してください。n8nのログを監視し、不審なアクティビティがないか定期的に確認することも重要です。
n8n をバージョン 2.10.1、2.9.3、1.123.22 以降にアップデートしてください。すぐにアップデートできない場合は、上記のような前提条件を持つフォームノードの使用をマニュアルで確認し、`NODES_EXCLUDE` 環境変数に `n8n-nodes-base.form` を追加してフォームノードを無効化し、および/または `NODES_EXCLUDE` 環境変数に `n8n-nodes-base.formTrigger` を追加して Form Trigger ノードを無効化してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-27493は、n8nのFormノードにおけるセカンドオーダーの式インジェクション脆弱性です。認証されていない攻撃者がフォームデータを操作し、任意のコードを実行できる可能性があります。
n8nのバージョンが1.123.22以前の場合は、影響を受けます。すぐにバージョン1.123.22以降にアップデートしてください。
n8nをバージョン1.123.22以降にアップデートしてください。アップデートできない場合は、フォームデータの入力を厳密に検証し、= で始まる入力値を許可しないように制限してください。
現時点では公開PoCは確認されていませんが、脆弱性の深刻度から、今後悪用される可能性は高いと考えられます。
n8nの公式アドバイザリは、n8nの公式ウェブサイトまたはGitHubリポジトリで確認できます。
CVSS ベクトル