00:00
-00:00
#20260328 n8nでRCEの恐れ!OpenClaw等多数の脆弱性
11
■ 今日のハイライト
本日は、多数のシステムで利用されている自動化ツールやライブラリに関する深刻なセキュリティニュースをお届けします。システムの乗っ取りや暗号署名の偽造など、早急な対応が必要な情報が目白押しです。
▼ エヌエイトエヌ(n8n)の深刻な脆弱性(RCE・インジェクション)
ワークフロー自動化ツールであるn8nに複数の脆弱性が報告されました。
(1) プロトタイプ汚染によるRCE (CVE-2026-33696)
XMLおよびGSuiteAdminノードの設定パラメータを悪用することで、リモートから任意のコードを実行される恐れがあります。
(2) LDAPインジェクション (CVE-2026-33751)
LDAP検索の入力サニタイズ処理に不備があり、不正な検索を実行される可能性があります。
(3) SQLインジェクション (CVE-2026-33713)
データテーブルノードの設定不備により、データベースを直接操作される危険性があります。
▼ オープンクロウ(OpenClaw)に対する多数の脆弱性報告
システム操作に利用されるOpenClawにおいて、20件以上の脆弱性が一挙に公開されました。
特に危険なのは、低権限のユーザーが管理者の権限を不正に承認できてしまう権限昇格の脆弱性です。これによりシステム全体が乗っ取られる恐れがあります。また、様々なエンドポイントで認証をバイパスして内部APIを叩ける不具合も多数報告されています。
▼ ノードフォージ(node-forge)の暗号実装に関する欠陥
JavaScriptの暗号化ライブラリであるnode-forgeにおいて、署名検証や証明書チェーンの欠陥が見つかりました。
(1) RSA署名偽造 (CVE-2026-33894)
(2) Ed25519署名偽造 (CVE-2026-33895)
(3) 証明書チェーンのバイパス (CVE-2026-33896)
特に証明書チェーンの欠陥は、不正な証明書が認証局(CA)として機能してしまうという深刻なものです。また、ゼロを入力すると無限ループに陥るDoS脆弱性(CVE-2026-33891)も報告されています。
▼ LibreNMSにおけるリモートコード実行
ネットワーク監視ツールのLibreNMSにおいて、認証済みの管理者がシステムのバイナリパス設定を改ざんし、任意のコードを実行できる脆弱性が報告されました。
各ツールの管理者および開発者は、至急最新バージョンへのアップデートを実施してください。
#セキュリティ #エンジニア #ITニュース #脆弱性 #RCE
Data sources: GitHub Advisory Database (CC-BY 4.0)
5日前
このチャンネルの新着放送
stand.fmの無料アプリでもっと便利に
放送が更新されたらプッシュでお知らせされるので最新の放送を聞き逃さない。
バックグラウンド再生で他のアプリを使用しながら、放送やライブが聴ける。
放送やライブ、コミュニティでコメントが送れて配信者とコミュニケーションができる。
アプリだけでかんたんに音声を収録して投稿できて音声の編集もできる。
stand.fmメディア
JASRAC許諾番号
9024598002Y31016
9024598004Y31016
NexTone許諾番号
000006134
© 2026 stand.fm, Inc.