CRITICALCVE-2026-33660CVSS 9.9

n8n には、Merge ノードの AlaSQL SQL モードに複数のリモートコード実行の脆弱性が存在します

Q: CVE-2026-33660 in n8nの影響はありますか？

はい、n8nのバージョンが2.14.0以前を使用している場合は影響があります。攻撃者は、この脆弱性を悪用して、サーバー上の機密ファイルにアクセスしたり、リモートコードを実行したりする可能性があります。

Q: CVE-2026-33660 in n8nを修正するにはどうすればよいですか？

n8nをバージョン2.14.1、2.13.3、または1.123.27にアップグレードしてください。アップグレードが直ちに不可能である場合は、SQL結合モードの使用を制限するなどの代替策を検討してください。

Q: CVE-2026-33660に関するn8nの公式アドバイザリはどこで入手できますか？

n8nの公式アドバイザリは、n8nのウェブサイトまたはセキュリティブログで確認できます。詳細は、n8nのセキュリティチームにお問い合わせください。

プラットフォーム

nodejs

コンポーネント

n8n

修正版

1.123.28

2.0.1

2.14.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-33660は、n8nのワークフロー自動化プラットフォームにおけるリモートコード実行(RCE)脆弱性です。この脆弱性は、認証されたユーザーがMergeノードの「SQLによる結合」モードを悪用することで、ローカルファイルを読み取ることが可能となり、深刻なセキュリティリスクをもたらします。影響を受けるバージョンはn8n 2.14.0以前です。バージョン2.14.1、2.13.3、1.123.27へのアップグレード、または代替策の実施により、この脆弱性を軽減できます。

影響と攻撃シナリオ

この脆弱性は、認証されたn8nユーザーがMergeノードの「SQLによる結合」モードを悪用することで、AlaSQLサンドボックスの制限を回避し、サーバー上の機密ファイルにアクセスしたり、リモートコードを実行したりすることを可能にします。攻撃者は、SQLインジェクション攻撃を通じて、n8nホスト上で任意のコードを実行し、システムを完全に制御する可能性があります。この脆弱性の悪用により、機密データの漏洩、システムの改ざん、さらにはn8nインスタンス全体の侵害につながる可能性があります。類似のSQLインジェクション脆弱性は、他のデータベース統合システムでも問題となる可能性があります。

悪用の状況

この脆弱性は、2026年3月25日に公開されました。現時点では、公開されているPoCは確認されていませんが、CVSSスコアがCRITICALであるため、悪用される可能性は高いと考えられます。CISA KEVへの登録状況は不明です。n8nのセキュリティコミュニティは、この脆弱性の悪用に関する情報を積極的に監視し、新たな脅威に対応する必要があります。

リスク対象者翻訳中…

Organizations heavily reliant on n8n for workflow automation, particularly those with complex workflows involving data merging and SQL operations, are at significant risk. Shared hosting environments where multiple users have access to n8n instances are also vulnerable, as a compromised user could potentially exploit this vulnerability to impact other users on the same server.

検出手順翻訳中…

• nodejs / server:

ps aux | grep n8n

• nodejs / server:

journalctl -u n8n -f | grep "AlaSQL sandbox"

• generic web:

curl -I http://your-n8n-instance/ | grep Server

攻撃タイムライン

2026-03-25Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.07% (22% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントn8n

ベンダーosv

影響範囲修正版

< 1.123.27 – < 1.123.271.123.28

>= 2.0.0-rc.0, < 2.13.3 – >= 2.0.0-rc.0, < 2.13.32.0.1

= 2.14.0 – = 2.14.02.14.1

2.14.02.14.1

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2026-03-23
公開日2026-03-25
更新日2026-04-12
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対応は、n8nをバージョン2.14.1、2.13.3、または1.123.27にアップグレードすることです。アップグレードが直ちに不可能である場合は、SQL結合モードの使用を制限する、またはワークフローのアクセス制御を強化するなどの代替策を検討してください。WAF（Web Application Firewall）を導入し、悪意のあるSQLクエリをブロックすることも有効です。アップグレード後、アラSQLサンドボックスの構成が正しく適用されていることを確認し、不要なSQL関数の使用を制限してください。また、n8nのログを監視し、異常なSQLクエリの実行を検出することも重要です。

修正方法

n8n をバージョン 2.14.1、2.13.3、または 1.123.26、またはそれ以降のバージョンにアップデートしてください。アップデートがすぐにできない場合は、ワークフローの作成と編集の権限を信頼できるユーザーのみに制限するか、`NODES_EXCLUDE` 環境変数に `n8n-nodes-base.merge` を追加して Merge ノードを無効にしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33660 — RCE in n8nとは何ですか？

CVE-2026-33660は、n8nのワークフロー自動化プラットフォームにおけるリモートコード実行(RCE)脆弱性です。認証されたユーザーがSQL結合モードを悪用することで、ローカルファイルを読み取ったり、サーバーを侵害したりする可能性があります。

CVE-2026-33660 in n8nの影響はありますか？