2026年2月はn8nのセキュリティストーリーにとって壊滅的でした。2月6日の8つのCVEで始まり、2月25日にさらに11。そしてNi8mare(CVE-2026-21858) — CVSS 10.0の非認証リモートコード実行脆弱性 — により、20以上のCVE、7つのクリティカル、1ヶ月で4つの独立したRCEベクターになりました。
これはもはやパッチの問題ではありません。アーキテクチャの問題です。
振り返り:2月のセキュリティ崩壊
2月6日 — 第1波(8つのCVE)
n8nの2月6日ブレティンは8つの脆弱性を開示。CVE-2026-25049(CVSS 9.4) — オリジナルの式インジェクションRCEに対する2025年12月のパッチのバイパスを含みます。バイパスにより式評価エンジンが根本的な設計上の欠陥を持つことが証明されました。
2月25日 — 3つの新しいRCEベクター(11のCVE)
3週間後、n8nは完全に独立したサブシステムにわたる3つの新しいクリティカルを含む11の追加脆弱性を公開:
| CVE | 重大度 | 攻撃面 |
|---|---|---|
| CVE-2026-27497 | クリティカル(9.4) | SQLクエリモード — 任意のコード実行 |
| CVE-2026-27577 | クリティカル(9.4) | 式サンドボックスエスケープ — システムコマンド |
| CVE-2026-27495 | クリティカル(9.4) | JavaScriptタスクランナーサンドボックスブレイクアウト |
Ni8mare:最悪のもの
CVE-2026-21858 — CVSS 10.0 — 非認証リモートコード実行
Ni8mareはn8nのwebhookハンドリングにおけるContent-Type混乱を悪用し、完全なサーバー乗っ取りを実現します。他の3つのRCEベクターとの質的な違い:
- 認証情報不要。 以前のRCEベクター(式、SQL、タスクランナー)はすべてある程度の認証アクセスが必要でした。Ni8mareは何も必要ありません — 露出したwebhookエンドポイントが攻撃面です。
- 完全なサーバー乗っ取り。 サンドボックスエスケープやクエリインジェクションに限定されません。基盤サーバー上での完全なリモートコード実行。
- 約100,000インスタンスが露出。 これは以前のCensysスキャンの26,512の数字ではありません — Ni8mareの攻撃面はwebhookエンドポイントを持つすべてのn8nインスタンスを含み、露出を劇的に拡大します。
- 4番目の独立した攻撃面。 式評価、SQLクエリモード、JavaScriptタスクランナー、そしてwebhook Content-Type混乱。4つの完全に別のサブシステム、4つの完全に別のRCEへのパス。
Content-Type混乱がなぜ危険か
Webhookエンドポイントは定義上インターネットに面しています。外部リクエストを受信するように設計されています。そのリクエストを解析するメカニズム — Content-Typeハンドラー — が混乱して任意のコードを実行できる場合、「webhook」の概念全体がリモートコード実行のエントリポイントになります。
webhookトリガーで始まるすべてのn8nワークフローが潜在的なNi8mareターゲットです。認証なし。悪用チェーンなし。単一の不正なリクエストだけ。
4つの独立したRCEベクター = 壊れたアーキテクチャ
製品で1つのRCEを見つけることは深刻なセキュリティインシデントです。2つはパターンです。1ヶ月で3つは警戒すべきです。
1ヶ月で4つの独立したRCEベクター — 4つの別々のサブシステムにまたがる — を見つけることは、セキュリティアーキテクチャが根本的に壊れていることの確認です。
| RCEベクター | サブシステム | CVE | 認証必要 |
|---|---|---|---|
| 式サンドボックスエスケープ | 式評価エンジン | CVE-2026-27577 | はい |
| SQLクエリモードRCE | SQL実行エンジン | CVE-2026-27497 | はい |
| JSタスクランナーブレイクアウト | JavaScriptサンドボックス | CVE-2026-27495 | はい |
| Webhook Content-Type混乱 | Webhookハンドリング | CVE-2026-21858 | いいえ |
更新されたCVEサマリー
| メトリック | 数 |
|---|---|
| 2026年2月の合計CVE | 20以上 |
| クリティカル重大度(CVSS 9.4-10.0) | 7 |
| 独立したRCEベクター | 4 |
| 非認証RCE(Ni8mare) | 1(CVSS 10.0) |
| 各国機関アドバイザリー | 2(シンガポールCSA、カナダCCCS) |
| 露出インスタンス | 約100,000 |
| 最小安全バージョン | v2.5.2以上 |
セキュリティ比較
| 次元 | JieGou | n8n |
|---|---|---|
| CVE(2026年2月) | 0 | 合計20以上、7つクリティカル |
| RCEベクター | N/A | 4つ独立 |
| 非認証RCE | N/A | CVE-2026-21858 Ni8mare |
| テストスイート | 11,875テスト、99.18%カバレッジ | オープンソース;コミュニティテスト |
| SOC 2 | 技術完了、17ポリシー、監査保留中 | 利用不可 |
| 保存時暗号化 | AES-256-GCM(BYOK) | 含まれない(コミュニティ) |
移行を開始
20以上の脆弱性。4つの独立したリモートコード実行攻撃面。1つは認証不要。各国のサイバーセキュリティ機関が正式なアドバイザリーを発行。
n8nを実行している場合 — 特にセルフホスト — Ni8mareによりリスクプロファイルが根本的に変わりました。
- n8nワークフローをインポート — 50以上のノードマッピングとセキュリティアセスメントによる自動インポート
- 移行ガイドを読む — ステップバイステップの技術ウォークスルー
- JieGou vs. n8nを比較 — 完全な機能とセキュリティ比較