n8n 1.123.47、1.x stable backport で依存ライブラリの脆弱性 16 件をまとめ修正

要約

n8n の 1.x 系 stable backport 1.123.47 が 2026-05-25 に公開されました。

内容は依存ライブラリのセキュリティ修正のみで、vm2 / ws / protobufjs ほか合計 16 件の脆弱性を解消する PR と、urllib3 を 2.6.3 → 2.7.0 へマイナーアップして既知脆弱性を解消する PR の 2 本構成です。新機能・破壊的変更は含まれません。

何が変わったか

• vm2、ws、protobufjs を含む Node.js 側トランジティブ依存のセキュリティ問題 16 件をまとめて修正（#30852）。
• 内部 Python パッケージで使われる urllib3 を 2.6.3 から 2.7.0 にマイナーアップし、既知脆弱性を解消（#31058）。
• API・ノード仕様・UI への変更はなし。

業務インパクト

n8n を 1.x stable で本番運用している組織は、2.x への昇格判断と切り離して 1.123.47 を当てるだけで CVE クラスのリスクを下げられます。vm2 はサンドボックス回避系の脆弱性が頻繁に報告される依存で、自前ワークフロー実行を扱う n8n では特に効くアップデートです。

一方で、すでに 2.x stable（2.21.7 系）に移っているテナントには本リリースは直接の対象外で、2.x 側のセキュリティ整備状況を別途確認する必要があります。Cloud 利用の場合はベンダー側が追従するため、ユーザー側の作業は基本的に不要です。

副業・個人活用視点

個人で n8n を self-host している場合も、1.x 系をそのまま動かし続けているなら今回の 1.123.47 は当てておく価値があります。docker compose pull && docker compose up -d 相当の更新で済むため、夜間の自動更新 cron に組み込むか、リリース通知（GitHub Releases の RSS / Watch）を webhook で Slack に飛ばす運用を作っておくと「セキュリティパッチだけ素早く当てる」体制が整います。AI ワークフロー自動化の信頼性は「派手な新機能」より「依存を腐らせない運用」で決まる、というのを社内・コミュニティに見せていく好材料です。