n8nを利用中の方に緊急のお知らせです。 2026年3月25日、ワークフロー自動化ツール「n8n」において、サーバーの乗っ取りや機密情報の漏洩につながる極めて重大な脆弱性が複数確認されました。
XServer VPSなどのホスティングサービスからも注意喚起が出されており、放置すると外部からの攻撃や内部不正のリスクにさらされる可能性があります。対象バージョンを利用している場合は、ただちに最新版へのアップデートを行ってください。
1. 今回発覚した脆弱性の内容
今回修正された脆弱性は、全部で7件(CVE-2026-33696など)にのぼります。 これらが悪用された場合、以下のような甚大な被害を受ける恐れがあります。
-
リモートコード実行 (RCE): 認証済みのユーザーが、サーバー上で不正なコマンドを直接実行できてしまいます。
-
アカウントの乗っ取り: 管理者権限を奪取されたり、他のユーザーのセッションを盗まれる可能性があります。
-
機密情報の漏洩: n8nに保存している各種サービスのAPIキー、認証トークン、顧客データなどが外部へ流出するリスクがあります。
特に「ログイン権限さえあればサーバーを自在に操れる」という点が非常に危険視されています。
2. 影響を受ける対象バージョン
以下のバージョンを使用している環境が対象です。ご自身の環境を今すぐご確認ください。
-
v1.123.27 未満
-
v2.13.3 未満
-
v2.14.1 未満
3. 今すぐすべき対策
対策は「脆弱性が修正された最新バージョンへのアップデート」のみです。
XServer VPS(アプリイメージ)をご利用の方
公式サイトのマニュアルに従い、管理パネル等からアップデート作業を行ってください。
n8nアプリイメージを利用する(公式マニュアル)
Dockerなどで自前構築されている方
Dockerイメージを最新のものに更新し、コンテナを再起動してください。
docker-compose pull docker-compose up -d
今回の脆弱性は「Critical(重大)」に分類されており、対応を後回しにするのは非常に危険です。n8nは多くの外部サービスと連携しているため、一度突破されると被害はサーバー内だけに留まりません。
まだアップデートを済ませていない方は、この記事を読み終えたらすぐに作業を開始することをお勧めします。
参照元(外部サイト):
-
XServer VPS お知らせ(2026年3月27日掲載)
コメント