CVE-2026-44694 n8n-MCPで発見された認証済みSSRF脆弱性とAI Security対策手順ガイド

結論

• 危険度: 情報なし
• 対象: n8n-mcp >= 2.18.7, < 2.50.2
• 修正: 2.50.2
• KEV: No (NVD Critical由来。CISA KEVには未登録)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-05-12 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
STEP 1	何が起きているか理解する	5分
STEP 2	急ぎ対応すべきか判断する	3分
STEP 3	自分の環境が対象か確認する	5分～環境による
STEP 4	修正を適用する	15分～
STEP 5	修正されたことを確認する	5分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-44694はn8n-mcpというAI支援ツールのサーバーにある認証済みSSRF（サーバサイドリクエストフォージェリ）脆弱性です。攻撃者は認証済み状態でサーバー内部の情報を勝手に取得できます。AI Gateway運用者にとっては最優先対応事項です。

やさしく説明すると

これは「家の中の電話が勝手に外に電話をかけてしまう」ような問題です。認証済みユーザーであっても、サーバーが攻撃者の指示通りに外や内部のサービスへ通信を行います。これによって、侵入者が見せたくない情報を不正に抜き取れます。玄関の鍵は開いているわけではなく、家の中の電話が悪用される状態とイメージしてください。

技術的な原因

CWE-367は「競合状態（Race Condition）」を示します。n8n-mcpのマルチテナントHTTPモードで、認証済みのAPI呼び出し経路に不正なURLが送られ、それがサーバーで外部リクエストに変換されてしまいます。CWE-918「サーバサイドリクエストフォージェリ（SSRF）」は、本来許されない外部や内部ネットワークへのHTTPリクエストをサーバー側が実行してしまう問題です。攻撃者はこの脆弱性を利用してクラウドのメタデータサービスや内部APIにアクセスし、認証情報を盗み出せます。

影響を受けると何が困るか

• APIキー(OpenAIやAnthropicなど)やクラウド認証情報の漏洩
• LLMコンテキストの窃取（顧客データやプロンプト情報を含む）
• プロンプトインジェクションを介したAgentの乗っ取り
• モデルやRAGデータの改ざんリスク
• 請求コストの異常増加
• テナント間情報漏洩（マルチテナント環境の分離破壊）
• インフラ全体への横展開攻撃の足がかり
• AIコーディングツール（CursorやCline等）経由のローカルファイル読み取りの可能性
• IDE拡張機能を通じた不正リモート操作
• .envファイルや認証情報の漏洩

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く
Linux	Red Hat CVE	英	Red Hat製品（RHEL/CentOS Stream/Rocky/AlmaLinux系）の影響評価とパッチ状況。	開く
Linux	Ubuntu Security	英	Ubuntu の影響評価。各Ubuntuバージョン（22.04/24.04等）でのパッチ提供状況が一目で分かる。	開く
Linux	Debian Security Tracker	英	Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディスト利用者向け。	開く
Linux	SUSE CVE	英	SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。	開く
悪用	Exploit Database	英	公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。	開く
悪用	Packet Storm Security	英	セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。	開く
悪用	GitHub PoC 検索	英	GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。	開く
悪用	X（Twitter）検索	日英	直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。	開く
スキャナ	Snyk Vulnerability DB	英	パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。	開く
スキャナ	Tenable（Nessus）	英	Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。	開く
スキャナ	Rapid7（Metasploit/Nexpose）	英	Metasploit悪用モジュール、Nexposeでの検出情報。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 低

判断根拠

• CVSSスコア: 未公開（スコアなし）。従って明確な高危険度判定はできず、中〜低リスク相当。
• EPSSスコア: 0.03%（パーセンタイル9.7%）。直近30日での悪用予測は非常に低い。
• ランサムウェア悪用: 不明。CISA KEVに未登録、悪用観測はなし。
• 公開PoC数: なし。GitHubやExploit DatabaseへのPoC登録は確認されていない。
• 悪用条件: 認証済みユーザーによる利用が必要で、完全に公開環境で無条件に悪用できるものではない。

誰が動くべきか

• n8n-mcpを運用するLLM Gateway運用チーム
• AgenticフレームワークやAPIクライアント機能を本番で使っているSRE/SecOps
• RAGパイプライン構築者で、n8nのWebhookやAPIを活用している開発者

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
n8n-mcp（npmパッケージ）	2.18.7 以上、2.50.2 未満	2.50.2

バージョン確認コマンド

Linux/macOS (npm)

npm list n8n-mcp

出力例:

└─ n8n-mcp@2.48.0

判定: バージョンが 2.18.7 以上 かつ 2.50.2 未満 なら脆弱です

Python環境（もしn8n-mcpをPythonで管理している場合）

pip show n8n-mcp

出力例:

Name: n8n-mcp
Version: 2.49.0
Summary: ...

判定: バージョンが 2.18.7 以上 かつ 2.50.2 未満 なら脆弱です

設定確認

この脆弱性はマルチテナントHTTPモードでかつWebhookトリガーやAPIクライアントの利用時に発現します。明示的な設定オプションで無効化する方法は公表されていません。設定依存ではないため、対象バージョンであれば脆弱と判断してください。

Nucleiテンプレートでの検出

現時点でCVE-2026-44694専用の公開Nucleiテンプレートは提供されていません。ベンダーからの公式検出ツールやバージョン確認で対応してください。

STEP 4: 修正を適用する

パッチ適用

npm 環境（Linux/macOS）

npm install n8n-mcp@2.50.2

判定: バージョンが 2.50.2 に更新されれば安全です

Docker環境の場合

docker pull czlonkowski/n8n-mcp:2.50.2
docker stop <コンテナ名>
docker rm <コンテナ名>
docker run -d --name <コンテナ名> czlonkowski/n8n-mcp:2.50.2 [その他オプション]

判定: コンテナイメージが 2.50.2 に更新されていれば安全です

注意: パッチ適用前に必ずバックアップを取得してください。ステージング環境で動作検証を行い、本番への影響を最小限に抑えましょう。運用時間帯やダウンタイム計画も事前に調整してください。

パッチ即時適用ができない場合の暫定対応

現時点で公式の暫定対応策は提示されていません。WAFやIPSで不審なx-n8n-urlヘッダーのリクエストをブロックするなど、ネットワークレベルでの通信制限を検討してください。

STEP 5: 修正されたことを確認する

STEP 3で実行したバージョン確認コマンドを再度実行してください。

期待される出力

Linux/macOS (npm)

npm list n8n-mcp

出力例:

└─ n8n-mcp@2.50.2

判定: バージョンが 2.50.2 以上ならOKです

Python環境

pip show n8n-mcp

出力例:

Version: 2.50.2

判定: バージョンが 2.50.2 以上ならOKです

追加で確認すべきこと

もしNucleiテンプレートや他の脆弱性検出ツールが提供された場合は最新版を使い再スキャンしてください。不審なログやAPI呼び出しの異常を運用監視システムでチェックしましょう。

補足: 悪用観測状況

CVE-2026-44694については、現時点でランサムウェアグループによる悪用情報は確認されていません。GitHubやExploit DatabaseにもPoCは公開されていません。EPSSスコアは0.03%と非常に低く、直近の実際の悪用例は報告されていません。

補足: CVSSメトリクス詳細

• AV（攻撃元の場所）: 公開されていません
• AC（攻撃難易度）: 公開されていません
• PR（必要な権限）: 認証済みユーザー
• UI（ユーザー操作）: 不要（サーバ側処理）
• S（スコープ）: マルチテナント環境影響
• C（機密性影響）: 高（認証情報漏洩の可能性）
• I（完全性影響）: 中（データ改ざんの可能性）
• A（可用性影響）: 低（サービス停止は報告なし）

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3で環境のバージョンを確認し、該当する場合はSTEP 4で2.50.2へのアップデートを実施してください。最低限バージョンチェックとパッチ適用は必須です。

Q. パッチが適用できない場合、どうすればよいですか？

A. 公式の暫定対応はありませんが、WAFやIDS/IPSで不審なHTTPヘッダーを遮断するなど、ネットワーク隔離や通信制限の強化を検討してください。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. ベンダーが提供するIOC（侵害指標）がないためログ監視が中心です。サーバーから外部へ不審な内部APIアクセスやクラウドメタデータアクセスがないか調査してください。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは脆弱性の技術的リスクを示しますが、EPSSは「実際に悪用される確率」を示します。両方確認することで優先度をより正確に判断できます。

Q. このCVEと類似の脆弱性は他にもありますか？

A. 同じCWE-918（SSRF）やCWE-367（競合状態）に分類される類似の脆弱性は他製品にも存在します。特にマルチテナント環境では同様の問題に注意してください。

参考文献

• NVD – CVE-2026-44694
• GitHub commit – 脆弱性修正
• GitHub Releases – v2.50.2
• GitHub Advisory Database

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• SSRF に関するCVE・脆弱性記事一覧
• AI Agent に関するCVE・脆弱性記事一覧