CVE-2026-44792 PostgreSQLのSQLインジェクション

この記事はAIがNVDのCVE情報をもとに要約・生成したものです。影響範囲や対策は、必ずNVDおよび各ベンダーの公式情報をご確認ください。

公開日: 2026-06-23T17:16:59.670 / 更新日: 2026-06-24T13:55:55.463 / CVSS: 9 / 深刻度: CRITICAL

n8nというオープンソースのワークフロー自動化プラットフォームにおいて、深刻な脆弱性(CVE-2026-44792)が報告されています。この脆弱性はSQLインジェクションに関するものであり、特定の条件下で内部のPostgreSQLインスタンスへの攻撃を許す可能性があります。具体的には、Source Control機能を通じて接続されたGitリポジトリに書き込み権限を持つ攻撃者が、巧妙なカラム名を含むData Table JSONファイルをコミットし、管理者が「Source Control Pull」を実行した際に脆弱性が顕在化します。

Linuxサーバー運用者にとって、この問題は特にPostgreSQLをデータベースバックエンドとして採用しており、かつSource Control機能が有効で外部リポジトリと連携している環境において、システムの整合性や機密性を損なうリスクとなります。管理業務においては、不適切なソースデータの取り込みによる不正なクエリの実行を防ぐための注意が必要です。

確認にあたっては、まず対象のn8nバージョンが1.123.43、2.22.1、および2.20.7未満であるかを確認してください。その上で、システム構成においてPostgreSQLを使用しているか、Source Control機能に関連するリポジトリへのアクセス権限が適切に管理されているかを精査する必要があります。脆弱性が修正されたバージョンへのアップデートや、連携先リポジトリのセキュリティ確認を行うことが推奨されます。

参照情報

ソクラテスの問い、プラトンの備え

ソクラテス

プラトンよ、この「n8n」という名のワークフロー自動化の仕組みにおいて、なぜ平穏なデータ管理が突如として混沌へと導かれるのか、その本質について共に思索してみようではないか。

プラトン

師よ、それは信頼の境界線に不備があるからです。具体的にはCVE-2026-44792という脆弱性が報告されています。これはSQLインジェクションに関するもので、特定の条件下で内部のPostgreSQLインスタンスに対して攻撃を許す可能性があるのです。

ソクラテス

ほう、自動化という「効率」を求める行為の中に、意図せぬ「毒」が混入する道筋があるということか。その毒はどのような形をして潜んでいるのかね?

プラトン

管理者が「Source Control Pull」を実行する際に顕在化します。攻撃者が書き込み権限を持つGitリポジトリに、巧妙なカラム名を含むData Table JSONファイルを忍び込ませるのです。この仕組みが有効で、かつPostgreSQLをバックエンドに使用している環境では、システムの整合性や機密性を損なうリスクが生じます。

ソクラテス

なるほど。外の世界との接続を便利にするための「門」が、不適切なデータを取り込むための入り口となってしまうのだな。では、この混沌からシステムを守るために、我々はどう向き合うべきだろうか?

プラトン

現場の管理者の視点に立てば、まずは正確な確認作業が必要です。まず対象となるn8nのバージョンが、1.123.43、2.22.1、または2.20.7未満であるかどうかを精査しなければなりません。これはベンダー情報の確認と照らし合わせた重要なステップです。

ソクラテス

若者よ、君は非常に実務的な問いを投げかける。しかし、ただ「確認する」ことの背後にある、影響の範囲を見極めるための思索も忘れてはならぬぞ。

プラトン

おっしゃる通りです。単にバージョンを見るだけでなく、システム構成においてPostgreSQLを使用しているか、またSource Controlに関連するリポジトリへのアクセス権限が適切に管理されているかを精査し、影響調査を行う必要があります。不適切なソースデータの取り込みを防ぐため、管理体制を強化せねばなりません。

ソクラテス

その通りだ。そして、最終的な安らぎを得るためにはどのような行動が必要か?

プラトン

脆弱性が修正されたバージョンへのアップデート、すなわちパッチ適用の実施です。また、連携先リポジトリのセキュリティ確認を含めた変更管理を徹底し、継続的に監視体制を整えることが重要です。適切な手順を踏むことで、初めてシステムの安全が保証されるのです。

関連キーワード: postgresql