Ni8mareは、脆弱性につけられた名称です。
その脆弱性が存在するのは、n8nです。
n8nは、ノーコード・ローコードで様々なアプリやサービスを連携させ、業務プロセスを自動化できるオープンソースのワークフロー構築ツールです。
視覚的なフロー(ノード)を繋ぐことで、プログラミング知識が少なくても、データ収集、通知、AI連携など複雑な自動化を実現でき、セルフホスト版なら無料で利用可能なため、高い自由度とコストパフォーマンスが魅力で、DX推進や業務効率化に活用されています。
n8nは多くの場所で利用されています。
ノーコード・ローコードで利用でき、700以上のサービスと連携可能で、稼働させる場所は自身のサーバーでもクラウド版でも選べ、ワークロードを構成できます。
この仕組みを使って実現できる処理も多くの領域に広がっています。
たとえば、こんな風に使えます。
- Googleフォームの回答をSlackに通知しつつスプレッドシートに記録する。
- メールで届いたPDF請求書を読み取り、会計ソフトとスプレッドシートに転記し、経理担当者にSlackで確認依頼する。
- 顧客からの問い合わせメールをAIが要約・分類し、適切な対応を自動生成する。
このn8nで脆弱性が見つかりました。
CVE-2026-21858(Ni8mare)です。
CVSSベーススコアは10.0で最大です。
この脆弱性が存在するバージョンのn8nを動作させている場合、いろいろなことが実行可能となってしまいます。
- 任意のファイル読み取り
- n8nの仕組みを利用している接続のセッションの偽造
- 認証バイパス
- 管理権限への昇格
- コマンド実行
n8nはいろいろなシステムと連携して利用することで、その効能をより発揮できます。
そしてNi8mareがある状態では、その連携しているすべてのシステムのデータが脅威アクターのアクセスできる対象となってしまいます。
この脆弱性には回避策は存在しません。
対策するにはこの脆弱性が解消されたバージョンに更新するしかありません。
利用している場合には、n8nを1.121.0以降に更新しましょう。
Ni8mare – Unauthenticated Remote Code Execution in n8n (CVE-2026-21858)
https://www.cyera.com/research-labs/ni8mare-unauthenticated-remote-code-execution-in-n8n-cve-2026-21858
| この記事をシェア |
|
|---|
