JVNDB-2025-023788

 n8nにおける信頼できない制御領域からの機能の組み込みに関する脆弱性

n8nはオープンソースのワークフロー自動化プラットフォームです。バージョン1.113.0未満では、Cloud版とSelf-Hosted版の両方で利用可能なGit Nodeコンポーネントにリモートコード実行の脆弱性が存在します。悪意のある攻撃者がpre-commitフックを含むリモートリポジトリをクローンすると、Git NodeのCommit操作によって、そのフックの実行が意図せずトリガーされる可能性があります。これにより、攻撃者はn8n環境内で任意のコードを実行でき、システムや接続された認証情報、ワークフローが脅かされる恐れがあります。この脆弱性はバージョン1.113.0で修正されました。

n8n

• n8n 1.113.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : Remote Code Execution via Git Node Pre-Commit Hook  Advisory  n8n-io/n8n  GitHub

1. 信頼できない制御領域からの機能の組み込み(CWE-829) [その他]

1. CVE-2025-62726

1. National Vulnerability Database (NVD) : CVE-2025-62726
2. 関連文書 : feat: Add N8N_GIT_NODE_DISABLE_BARE_REPOS environment variable to allow users to disable bare repositories in Git Node by RomanDavydchuk  Pull Request #19559  n8n-io/n8n  GitHub
3. 関連文書 : feat: Add N8N_GIT_NODE_DISABLE_BARE_REPOS environment variable to all…  n8n-io/n8n@5bf3db5  GitHub

• [2026年01月06日]
    掲載