CVE-2026-21858、つまりNi8mare：n8nプラットフォームにおける重要な認証なしリモートコード実行の脆弱性

重要な 脆弱性の急増 は、2026年の始まりとともに減速の兆しを見せていません。「 MongoBleed （CVE-2025-14847）の公開後、n8n AI ワークフロー自動化プラットフォームに影響を与える別の重大な欠陥が明らかになりました。CVE-2026-21858として追跡され、「Ni8mare」と呼ばれるこの欠陥は、最大の深刻度スコア（CVSS 10.0）を取得しています。 and は、公開されたn8nインスタンスへの完全なアクセス権を与える可能性があります。

リスクはプラットフォームの露出フットプリントによって増幅されています。攻撃面管理プロバイダーのCensys は、 世界中で26,500以上のインターネットアクセス可能なn8nホストを観察し、積極的な悪用に対する潜在的な攻撃面の多さを強調しています。

SOC Prime プラットフォームに登録してください。これは、世界最大のDetection Intelligenceデータセットを有しており、脅威検出からシミュレーションに至るまで、エンドツーエンドのパイプラインを提供し、貴社のSOCの機能を向上させ、どんな洗練されたサイバー脅威にもプロアクティブに対抗できるようにします。 探索検出 ボタンを押すと、関連するCVEタグでフィルターされた脆弱性悪用に対応するルールの、コンテキストに基づいたコレクションにアクセスできます。

探索検出

すべてのルールは、複数のSIEM、EDR、およびデータレイクフォーマットに対応しており、 MITRE ATT&CK® v18.1フレームワークにマッピングされています。加えて、各ルールにはリンク、攻撃タイムライン、監査設定、トリアージ推奨事項、その他の関連コンテキストが付加されています。 CTI links, attack timelines, audit configurations, triage recommendations, and more relevant context.

セキュリティエンジニアはまた、 Uncoder AIを利用することができます。これは、検出エンジニアリングのためのIDEおよびコパイロットです。Uncoderを使用すると、防御者はIOCをカスタムハンティングクエリに即座に変換し、生の脅威レポートから検出コードを構築し、攻撃フローダイアグラムを生成し、ATT&CKタグの予測を可能にし、AI駆動のクエリ最適化を活用し、複数のプラットフォーム間で検出コンテンツを翻訳することができます。

CVE-2026-21858の分析

CVE-2026-21858、ニックネーム「Ni8mare」は、n8nのWebhookリクエスト解析およびファイル処理ロジックに重大な欠陥を露呈します。Cyera Research Labsによると レポートによれば、この脆弱性は、Webhookノードが「Content-Type」ヘッダーに基づいて受信HTTPリクエストを処理する方法に起因します。

リクエストが受信されると、n8nは「Content-Type」を調べてそれを解析する方法を決定します。このヘッダーが multipart/form-dataに設定されている場合、リクエストは parseFormData() 関数によって処理されます。この関数はFormidableの parse() メソッドのラッパーであり、アップロードされたファイルをシステムの一時ディレクトリにランダムに生成されたパスに保存し、ファイル情報を req.body.files グローバル変数に保存します。

他のすべての「Content-Type」値に対して、n8nは parseBody() 関数を使用し、HTTPボディを解析して解読されたデータを req.body グローバル変数に保存します。

に保存します。Cyeraの研究者は、フォームWebhookノードに送信された細工されたHTTPリクエストが「Content-Type」ヘッダーをあえてそれ以外のものと誤記することができると指摘しています。 multipart/form-dataこの方法で処理されると、 parseBody() は、攻撃者が制御するデータで req.body.files 変数を上書きするために悪用される可能性があります。

を制御できると、攻撃者はローカルシステム上の任意のファイルパスを指定できます。その後、フォームノードは req.body.files 関数を呼び出し、 関数を呼び出し、 のエントリを反復して req.body.files を各エントリに対して実行します。このプロセスは、ファイルが正規のアップロードから来たものであるかどうかを検証せず、指定されたローカルファイルが代わりに永続ストレージにコピーされる原因となります。 を各エントリに対して実行します。このプロセスは、ファイルが正規のアップロードから来たものであるかどうかを検証せず、指定されたローカルファイルが代わりに永続ストレージにコピーされる原因となります。 for each one. This process does not verify whether the files originated from a legitimate upload, causing the specified local files to be copied into persistent storage instead.

この問題は2025年11月9日にn8nに報告され、ベンダーはCVE-2026-21858が認証されていない攻撃者に基礎のサーバー上のファイルへのアクセスを許可することを確認しました。悪用は、機密データの暴露、ワークフローマニピュレーション、資格情報の漏洩、そして一部の構成ではインスタンスの完全な乗っ取りを引き起こす可能性があります。

ベンダーの 勧告によれば、CVE-2026-21858はn8nプラットフォームのバージョン1.65.0以前および1.65.0を含むすべてのバージョンに影響を与えています。この問題は2025年11月18日にリリースされたバージョン1.121.0で対処されています。ユーザーは問題を修正するためにバージョン1.121.0以上にアップグレードすることをお勧めします。

公式の回避策は利用できません。暫定的な対策として、ユーザーはアップグレードが適用できるまで公開アクセス可能なWebhookおよびフォームエンドポイントを制限または無効にすることができます。さらに、各組織は、 SOC PrimeのAIネイティブなDetection Intelligence Platform を利用してリアルタイム防御を行い、広範なキュレートされた検出ルール、行動可能なインテリジェンス、およびAIに支援された最新の重大脅威への先行的対応を支援します。