CVE-2026-33724 in n8n
要約
〜によって VulDB • 2026年06月03日
n8nはオープンソースのワークフロー自動化プラットフォームです。バージョン2.5.0より前では、Source Control機能がSSHを使用するように構成されている場合、Git操作に使用されるSSHコマンドでホストキー検証が明示的に無効化されていました。n8nインスタンスとリモートGitサーバーの間にあるネットワーク攻撃者は接続を傍受し、偽造されたホストキーを表示することで、ワークフローへの悪意のあるコンテンツの注入やリポジトリデータの盗聴が可能になる可能性があります。この問題は、Source Control機能が明示的に有効化され、SSHの使用に構成されている(デフォルトではない)インスタンスのみに影響します。本脆弱性はn8nバージョン2.5.0で修正されています。ユーザーは該当する脆弱性を解消するため、このバージョン以降へのアップグレードを行ってください。直ちにアップグレードできない場合は、管理者は以下の一時緩和策を検討してください:Source Control機能が必要でない場合は無効化し、および/またはネットワークアクセスを制限して、n8nインスタンスが信頼できる制御されたネットワークパス上でのみGitサーバーと通信するようにします。これらの回避策ではリスクが完全に解消されるわけではなく、短期的な緩和措置としてのみ使用すべきです。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.