✅ レポートタイトル：n8n 脆弱性分析：CVE-2025-68613、CVE-2026-21858、CVE-2026-25049

✅ レポートの要約：

- S2W脅威インテリジェンスセンター「TALON」は、近年注目されているワークフロー自動化ツールn8nにおいて確認された複数の脆弱性のうち、CVE-2025-68613、CVE-2026-21858、CVE-2026-25049の3件を選定し、悪用可能性および対応策について分析します。

- 本脆弱性は、n8nの式評価システムにおける式検証の不備により発生するRCE脆弱性です。

- 以下のバージョンが本脆弱性の影響を受けます。

- 0.211.0 <= n8n < 1.120.4

- 0.211.0 <= n8n < 1.121.1

- 0.211.0 <= n8n < 1.122.0

- 発生原因

- n8nの式評価システムにおいて'this'バインディングの検証が不十分であるため、'this'がグローバルオブジェクトにバインドされます。その結果、サンドボックスを回避し、任意のコードを実行可能になります。

- 攻撃シナリオ

- 本脆弱性によりアカウントアクセスを取得した外部のthreat actorは、n8nのworkflow実行時にサンドボックスを回避し、任意のコードを実行可能です。

- 本脆弱性は、n8nのForm Triggerノードにおいて、ファイルアップロードリクエスト処理時にContent-Typeヘッダーの検証が行われないことにより発生するArbitrary File Read脆弱性です。

- 以下のバージョンが本脆弱性の影響を受けます。

- 1.65.0 <= n8n < 1.121.0

- 発生原因

- n8nのForm Triggerノードにおいて、ファイルアップロードリクエスト処理時にContent-Typeヘッダーの検証が行われていないことが原因です。

- その結果、parseBody()により保存されたthreat actorのJSONデータがそのまま信頼され、file.filepath値が検証なしでcopyBinaryFile()関数に渡されるため、サーバー上の任意ファイルを読み取ることが可能になります。

- 攻撃シナリオ

- 本脆弱性により、threat actorはapplication/jsonリクエストを通じてfilesオブジェクトのfilepath値を操作できます。その結果、サーバー上の任意ファイルを読み取ることが可能になります。

- さらにCVE-2025-68613と連鎖させることで、RCEが可能になります。

- 脆弱なバージョンのn8nを使用している場合は、最新バージョンへ更新することを推奨します。

- 更新が困難な場合は、以下の緩和策を実施することを推奨します。

CVE-2025-68613

- workflowの作成および編集権限は、信頼できるユーザーのみに付与します。

- オペレーティングシステム権限およびネットワークアクセスを制限した環境にn8nを展開します。

CVE-2026-21858

- Form TriggerノードのForm Fieldsのうち、Field TypeがFileのフィールドを削除します。

- ネットワークアクセスを制限し、認証を強化します。

🧑‍💻 レポート作成者: S2W 「TALON」

👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。