JVNDB-2026-002851

n8nにおける複数の脆弱性

n8nはオープンソースのワークフロー自動化プラットフォームです。バージョン1.123.9および2.2.1より前のバージョンには、n8nのインターフェースで使用されるマークダウンレンダリングコンポーネント（ワークフロースティッキーノートやマークダウンコンテンツをサポートするその他の領域を含む）にクロスサイトスクリプティング（XSS）の脆弱性が存在していました。ワークフローの作成や修正権限を持つ認証済みユーザーは、この脆弱性を悪用して、他のユーザーが悪意のあるワークフローと対話した際に同一生成元権限でスクリプトを実行させることが可能でした。これによって、セッション乗っ取りやアカウント乗っ取りが発生するおそれがありました。この問題はバージョン1.123.9および2.2.1で修正されています。

n8n

• n8n 1.123.9 未満
• n8n 2.0.0 以上 2.2.1 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : Stored Cross-Site Scripting via Markdown Rendering in Workflow UI  Advisory  n8n-io/n8n  GitHub

1. クロスサイトスクリプティング(CWE-79) [その他]
2. クロスサイトスクリプティング (Basic XSS)(CWE-80) [その他]

1. CVE-2026-25054

1. National Vulnerability Database (NVD) : CVE-2026-25054

• [2026年02月10日]
    掲載