CVE-2025-68613(n8n RCE)検出ルール

Security
CVE-2025-68613(n8n RCE)検出ルール

CVE-2025-68613(n8n RCE)検出ルール

n8n のワークフロー式評価に関する重大なリモートコード実行(RCE)脆弱性「CVE-2025-68613」を検知するためのリポジトリです。YAML 形式の検出ルールを中心に、ログや HTTP リクエスト内の不審な式評価パターン、ワークフロー経由の異常な入力をトリガーとして検出することを目的としています。脆弱な n8n バージョンを運用する環境での早期警戒とインシデント対応に役立ちます。(概略説明)

https://github.com/rxerium/CVE-2025-68613

概要

n8n はワークフロー自動化のための OSS プラットフォームです。本リポジトリは、n8n の式評価システムに存在する重大なリモートコード実行脆弱性 CVE-2025-68613 を検知するためのシンプルな検出ルールを提供します。脆弱なバージョン(0.211.0 以降、特定の 1.120.x 系以前など)では、認証済みユーザーが提供した式が不適切に評価され、条件次第でサーバー上で任意コードが実行される可能性があります。本検出ルールは、アクセスログやワークフロー実行ログ内の特徴的な文字列やリクエストパターンを元に、不審な式評価の痕跡を発見することを目指します。

GitHub

リポジトリの統計情報

  • スター数: 11
  • フォーク数: 0
  • ウォッチャー数: 11
  • コミット数: 3
  • ファイル数: 3
  • メインの言語: 未指定

主な特徴

  • 単一の YAML 形式検出ルール(CVE-2025-68613.yaml)を提供
  • n8n のワークフロー式評価に起因する不審な入力パターンを対象
  • SIEM やログ解析ツールへの組み込みを想定したシグネチャ形式
  • 軽量で導入が容易、既存の監視ルールと併用可能

技術的なポイント

CVE-2025-68613 は n8n の式(expression)評価経路におけるサニタイズ不備が原因で、認証済みユーザーが特定の式をワークフローへ注入するとサーバー内で任意コードが実行され得るという問題です。技術的に注目すべき点は以下の通りです。

  1. 式評価の文脈:n8n ではワークフローのノード内で式(テンプレートや JavaScript 評価)を許可しており、式は実行時に評価されます。脆弱性はその評価コンテキストが外部から制御された値を不適切に扱うことで発生します。

  2. 検出対象の痕跡:検出ルールは主に HTTP アクセスログやワークフロー実行ログ中の特徴的な文字列に注目します。具体例としては、式評価に用いられやすい「Function」「eval」「constructor」「process」やテンプレートリテラル中の疑わしいパターン、base64 埋め込みや長い乱数的文字列、ワークフローの編集/実行 API(例:/workflow、/workflows)への異常な POST リクエストなどです。これらを組み合わせたシグネチャで高検出率かつ誤検知を抑える設計になっています。

  3. ルール形式(YAML)の意図:CVE-2025-68613.yaml は SIEM や検知エンジン向けの共通フォーマットを想定しています。タイトル、説明、参照(CVE、修正バージョン)、検出条件(文字列マッチ、正規表現、HTTP メソッド、URI パターン)、重大度、推奨アクション(ブロック、パッチ適用、監査)などを含むことが一般的です。これにより、Elasticsearch/Kibana、Splunk、Wazuh、SIEM 製品へ容易に取り込めるよう設計されています。

  4. 対策と運用:検出は攻撃を未然に阻止するというよりは早期発見に寄与します。速やかな対応としては、n8n を公式修正版へアップデートすること(脆弱なバージョンからの移行)、影響を受けるワークフローの式レビュー、サーバー上での不要な権限削減、監査ログの保全とインシデントレスポンス計画の実行が推奨されます。検出ルール自体はログ粒度に依存するため、監視対象のログ収集設定(リクエストボディ保存、ワークフロー実行ログの保持)を見直す必要があります。

このリポジトリは攻撃手法の詳細を提供せず、あくまで防御・検知にフォーカスした内容で構成されています。

プロジェクトの構成

主要なファイルとディレクトリ:

  • CVE-2025-68613.yaml: file
  • LICENSE: file
  • README.md: file

まとめ

n8n の式評価に対する RCE を早期に検出するための軽量な検出ルール集で、迅速導入に向く。

リポジトリ情報:

READMEの抜粋:

Locked CVE-2025-68613

n8n is an open source workflow automation platform. Versions starting with 0.211.0 and prior to 1.120.4, 1.121.1, and 1.122.0 contain a critical Remote Code Execution (RCE) vulnerability in their workflow expression evaluation system. Under certain conditions, expressions supplied by authenticated users during workflow co…