n8nにおけるSQL インジェクションの脆弱性
| Title |
n8nにおけるSQL インジェクションの脆弱性
|
| Summary |
n8nはオープンソースのワークフロー自動化プラットフォームです。バージョン2.25.7および2.26.2以前では、ワークフローの作成または修正の権限を持つ認証ユーザーが、TimescaleDBおよび/またはレガシーPostgres v1ノードに細工されたパラメータを提供することで、設定されたデータベースアカウントの権限で接続されたデータベースに任意のSQLをインジェクトし、実行させることが可能でした。この脆弱性はバージョン2.25.7および2.26.2で修正されています。
|
| Possible impacts |
・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 23, 2026, midnight |
| Registration Date |
June 26, 2026, 11:54 a.m. |
| Last Update |
June 26, 2026, 11:54 a.m. |
|
CVSS3.0 : 緊急
|
| Score |
9.9
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Affected System
| n8n |
|
n8n 2.25.7 未満
|
|
n8n 2.26.0 以上 2.26.2 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月26日]
掲載 |
June 26, 2026, 11:54 a.m. |
NVD Vulnerability Information
CVE-2026-54310
| Summary |
n8n is an open source workflow automation platform. Prior to 2.25.7 and 2.26.2, an authenticated user with permission to create or modify workflows could supply a crafted parameters to the TimescaleDB and/or legacy Postgres v1 node's allowing arbitrary SQL to be injected and executed against the connected database within the privileges of the configured database account. This vulnerability is fixed in 2.25.7 and 2.26.2.
|
| Publication Date |
June 24, 2026, 1:17 a.m. |
| Registration Date |
June 27, 2026, 4:13 a.m. |
| Last Update |
June 26, 2026, 3:41 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:n8n:n8n:*:*:*:*:*:node.js:*:* |
|
|
|
2.25.7 |
| cpe:2.3:a:n8n:n8n:*:*:*:*:*:node.js:*:* |
2.26.0 |
|
|
2.26.2 |
Related information, measures and tools
Common Vulnerabilities List