Skip to content
← ブログ
プロダクト

n8nの2026年2月:19のCVE、6つのクリティカル、移行すべき理由

n8nは2026年2月に19のセキュリティ脆弱性を公開しました -- 3つの独立したRCEベクターを含む6つのクリティカル。各国のサイバーセキュリティ機関が正式なアドバイザリーを発行しました。何が起きたかと移行方法を解説します。

JT
JieGou Team · · 1 分で読めます

2026年2月、n8nは2つのセキュリティブレティンを発行し、合計19の脆弱性6つのクリティカル(CVSS 9.4+)3つの独立したリモートコード実行攻撃面を含む — を公開しました。各国のサイバーセキュリティ機関 — シンガポールのCSAとカナダのCCCS — が正式なアドバイザリーを発行しました。

これはパッチの問題ではありません。n8nの複数のサブシステムにわたる構造的なアーキテクチャ問題です。

2月6日:第1波 — 8つのCVE

月はn8nの2月6日ブレティンで8つの脆弱性の開示から始まりました。既知の式評価RCEと重要な新たな展開を含みます:CVE-2026-25049(CVSS 9.4)、これはオリジナルのCVSS 10.0式インジェクションRCEに対する2025年12月の修正をバイパスしたものです。

バイパスにより、これは一度きりのバグではないことが証明されました — n8nの式評価エンジンの根本的な設計上の欠陥のエビデンスです。ポイント修正は特定の攻撃ベクターに対処しますが、基盤となるアーキテクチャは新しい悪用手法に対して脆弱なままです。

2月25日:さらに11のCVE — 3つのクリティカル

3週間後、n8nは完全に独立したサブシステムにわたる3つの新しいクリティカル重大度の問題を含む11の追加脆弱性を公開しました:

CVE重大度説明
CVE-2026-27497クリティカル(9.4)SQLクエリモードがn8nサーバー上で任意のコード実行を許可
CVE-2026-27577クリティカル(9.4)式サンドボックスエスケープ — 操作されたパラメータによるシステムコマンド
CVE-2026-27495クリティカル(9.4)JavaScriptタスクランナーサンドボックスブレイクアウト — 任意のコード実行
CVE-2026-27578ストアドXSS
CVE-2026-27493Form Node経由の非認証式評価
+ 6つ高/中Chat認証バイパス、SSOバイパス、SQLインジェクション(MySQL/PostgreSQL/MSSQL)、webhookフォージェリ

1ヶ月で3つの独立したRCEベクター

2月25日のブレティンが特に警戒すべきなのは、3つの完全に独立したリモートコード実行パスを明らかにしているからです:

  1. 式評価 — ユーザー式を安全に評価するために設計されたサンドボックスがエスケープでき、任意のシステムコマンド実行が可能。これは2025年12月のRCEと2月のバイパスを生んだのと同じサブシステム — 今度は新しいエスケープ手法。

  2. SQLクエリモード — SQL実行エンジンがn8nサーバー上での任意のコード実行を許可。式評価とは完全に別のサブシステム。

  3. JavaScriptタスクランナー — サンドボックス化されたJavaScript実行環境からブレイクアウトでき、任意のコード実行が可能。こちらも完全に別のサブシステム。

各々がn8nのアーキテクチャの異なる部分における個別の攻撃面を表しています。1つをパッチしても他を保護しません。攻撃者は1つだけ見つければよいのです。

各国のサイバーセキュリティ機関が対応

n8nの2月の開示の深刻さにより、各国のサイバーセキュリティ機関が正式なアドバイザリーを発行しました:

  • シンガポールCSA(Cyber Security Agency of Singapore) — n8n脆弱性のアドバイザリーを発行
  • カナダCCCS(Canadian Centre for Cyber Security) — n8n脆弱性のアドバイザリーを発行

各国政府が自動化プラットフォームについて警告を発する時、緊急性は明白です。これらは重要インフラの脆弱性についてアドバイザリーを発行するのと同じ機関です。

パッチだけでは不十分な理由

2月を通じたパターンが明確なストーリーを語っています:

  • 2月6日:2025年12月のパッチのバイパスを含む8つのCVE
  • 2月25日:3つの別々のサブシステムにわたるさらに11のCVE
  • 合計:19のCVE、6つのクリティカル、3つの独立したRCEベクター

脆弱性は以下に及びます:

  • 式評価エンジン
  • SQL クエリ実行エンジン
  • JavaScriptタスクランナーサンドボックス
  • 認証およびSSOシステム
  • フォーム評価エンドポイント
  • データベースコネクタ(MySQL、PostgreSQL、MSSQL)
  • Webhookハンドリング

この広範さはアーキテクチャレベルのシステム的なセキュリティ問題を示唆しており、孤立したバグではありません。

2026年2月CVEサマリー

メトリック
2026年2月の合計CVE19
クリティカル重大度(CVSS 9.4+)6
独立したRCEベクター3
各国機関アドバイザリー2(シンガポールCSA、カナダCCCS)
2月のパッチラウンド2(2月6日 + 2月25日)
露出インスタンス(Censys)26,512

パッチ利用可能:n8n 2.10.1、2.9.3、1.123.22。すべてのセルフホストインスタンスは即座にアップグレードすべきです。

移行パス

JieGouのn8nインポートウィザードがn8nワークフローJSONエクスポートをJieGouワークフローに自動変換します:

  1. n8nワークフローをエクスポート(設定 → すべてのワークフローをエクスポート)
  2. JSONをJieGouのインポートウィザードにアップロード
  3. 変換をレビュー — 47以上のノードタイプマッピングが自動処理
  4. マネージドホスティング、ゼロパッチ、SOC 2対応コンプライアンスインフラでデプロイ

セキュリティ比較

次元JieGoun8n
CVE(2026年2月)0合計19、6つクリティカル
RCEベクターN/A3つ独立
政府アドバイザリー不要シンガポールCSA、カナダCCCS
露出インスタンスN/A(クラウド + VPC)26,512
SOC 2技術完了、15ポリシー、監査保留中利用不可
保存時暗号化AES-256-GCM(BYOK)含まれない(コミュニティ)
RBAC6ロール、20パーミッション基本的(admin / editor)
監査ログ30アクションタイプ、不変含まれない(コミュニティ)

移行を開始

1ヶ月で19の脆弱性。3つの独立したリモートコード実行攻撃面。各国のサイバーセキュリティ機関が正式なアドバイザリーを発行。

n8nを実行している場合 — 特にセルフホスト — リスクプロファイルが根本的に変わりました。

  1. n8nワークフローをインポート — 47以上のノードマッピングによる自動インポート
  2. 移行ガイドを読む — ステップバイステップの技術ウォークスルー
  3. JieGou vs. n8nを比較 — 完全な機能とセキュリティ比較
n8n security CVE migration RCE enterprise compliance

Explore more

⚖️ JieGou vs n8n ⚙️ Enterprise Plan 📖 AI Governance ⚙️ Platform Overview
この記事をシェアする

関連記事

Ni8mare:n8nの1ヶ月で4番目のRCEベクターがアーキテクチャ障害を確認

CVE-2026-21858 'Ni8mare'はn8nのwebhookハンドリングにおけるCVSS 10.0の非認証RCEです。認証情報不要。約100,000インスタンスが露出。2026年2月で4番目の独立したRCEベクター -- セキュリティアーキテクチャの破綻を確認。

セルフホストではなくハイブリッドデプロイメントを構築した理由 -- n8nの26,512の露出インスタンスが教えること

n8nのセキュリティ危機が26,512の脆弱なインスタンスを露出させました。セルフホストがセルフバルネラブルである必要がない理由と、JieGouのハイブリッドモデルがより良い道を提供する方法を解説します。

従業員の80%が未承認AIを使用しています。そのコストを解説します。

シャドーAIは仮説ではありません。80%以上の未承認使用、33%が独自データを共有、1件あたり65万ドル以上の侵害コスト。危機は数値化されました。ガバナンスがどう防ぐかを解説します。

この記事はお役に立ちましたか?

ワークフローのヒント、製品アップデート、自動化ガイドをメールでお届けします。

No spam. Unsubscribe anytime.

← すべての記事に戻る