概要
n8nのバージョン1.123.61より前、2.xの2.27.4より前、および2.28.xの2.28.1より前には、レガシーMySQL v1ノードのexecuteQuery操作にSQLインジェクションの脆弱性が存在します。この操作は、評価済みの{{ … }}式の値をパラメータ化せずにそのまま生のSQL文字列に置換します。ワークフローがこの操作を式由来の値で使用し、外部から到達可能なトリガー(Webhookノードなど)に接続している場合、攻撃者が制御する入力がこれらの式に到達してSQLインジェクションを引き起こす可能性があります。これにより、設定されたMySQL認証情報の権限で任意のSQLを実行できるようになります。パラメータ化クエリを使用するMySQL v2ノードは影響を受けません。
技術情報
- 公開日: 2026-07-10T10:18:13+09:00
- 更新日: 2026-07-10T10:18:13+09:00
参考リンク
対処方法
該当ソフトウェアの最新版への更新、または開発元が提供する緩和策の適用を推奨します。運用環境に応じて事前検証の上で実施してください。
免責
本記事は公開情報をもとに自動集約された速報です。正確性・完全性は保証できません。必ず一次情報(上記リンク等)をご確認ください。
