製品・ソフトウェアに関する情報

JVN脆弱性詳細

n8nにおけるオブジェクトプロトタイプ属性の不適切に制御された変更に関する脆弱性

Title	n8nにおけるオブジェクトプロトタイプ属性の不適切に制御された変更に関する脆弱性
Summary	n8nはオープンソースのワークフロー自動化プラットフォームです。バージョン2.25.7および2.26.2以前には、プロトタイプ汚染の脆弱性が存在していました。この脆弱性により、細工された公開Webhookペイロードが内部オブジェクトのコピー時に攻撃者が制御するフィールドをワークフロードデータに注入できました。これらのフィールドは、下流の組み込みノードによって通常の値として表出および消費される可能性があります。ワークフローが公開Webhookと、その結果のフィールドを消費するアクションノードを組み合わせている場合、攻撃者はワークフローを混乱代理として機能させ、意図しないレコードを標的にしたり、ワークフロー所有者の構成した認証情報を使用して外部リクエストを発行させることが可能でした。この脆弱性はバージョン2.25.7および2.26.2で修正されています。
Possible impacts	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 23, 2026, midnight
Registration Date	June 29, 2026, 11:11 a.m.
Last Update	June 29, 2026, 11:11 a.m.

CVSS3.0 : 警告
Score	6.4
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Affected System

n8n

n8n 2.25.7 未満

n8n 2.26.0 以上 2.26.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-54306	https://www.cve.org/CVERecord?id=CVE-2026-54306
National Vulnerability Database (NVD)
2	CVE-2026-54306	https://nvd.nist.gov/vuln/detail/CVE-2026-54306

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-1321	https://cwe.mitre.org/data/definitions/1321.html

ベンダー情報

No	Name	URL
GitHub
1	Prototype Pollution enables confused-deputy execution via public webhooks Advisory n8n-io/n8n GitHub	https://github.com/n8n-io/n8n/security/advisories/GHSA-2vff-hj5x-8gq7

Change Log

No	Changed Details	Date of change
1	[2026年06月29日] 掲載	June 29, 2026, 11:11 a.m.

NVD Vulnerability Information

CVE-2026-54306

Summary	n8n is an open source workflow automation platform. Prior to 2.25.7 and 2.26.2, a prototype pollution vulnerability allowed a crafted public webhook payload to inject attacker-controlled fields into workflow data during internal object copying. These fields could be surfaced and consumed as normal values by downstream built-in nodes. Where a workflow combines a public webhook with action nodes that consume the resulting fields, an attacker could cause the workflow to act as a confused deputy — targeting unintended records or issuing outbound requests using the workflow owner's configured credentials. This vulnerability is fixed in 2.25.7 and 2.26.2.
Publication Date	June 24, 2026, 2:17 a.m.
Registration Date	June 27, 2026, 4:14 a.m.
Last Update	June 26, 2026, 11:23 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:n8n:n8n::::::node.js::*				2.25.7
cpe:2.3:a:n8n:n8n::::::node.js::*	2.26.0			2.26.2

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/n8n-io/n8n/security/advisories/GHSA-2vff-hj5x-8gq7	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-1321	オブジェクトプロトタイプ属性の不適切に制御された変更 (プロトタイプの汚染)	https://cwe.mitre.org/data/definitions/1321.html