CVE-2026-45707 in n8n-mcpالمعلومات

الملخص

بحسب VulDB • 31/05/2026

n8n-MCP هو خادم MCP يوفر لمساعدات الذكاء الاصطناعي الوصول إلى توثيق العقد وخصائصها وعملياتها في n8n. قبل الإصدار 2.51.2، عندما تكون ENABLE_MULTI_TENANT=true، يوثق النقل HTTP أن مثيل n8n المستهدف يتم اختياره لكل طلب من خلال رؤوس x-n8n-url / x-n8n-key. كانت الطلبات التي تتجاهل هذه الرؤوس — أو توفر واحدة منها فقط — تتساقط بصمت إلى الاعتمادات N8N_API_URL / N8N_API_KEY على مستوى العملية، والمُهيأة لمثيل n8n الخاص بالمشغل. ونتيجة لذلك، كان بإمكان مستخدم MCP متعدد المستأجرين (tenant) مُصادق عليه أن يجعل استدعاءات إدارة n8n تُنفَّذ على مثيل المشغل بدلاً من مثيله الخاص. يؤثر هذا على نشرات n8n-mcp في وضع HTTP التي تعمل كخدمة مشتركة متعددة المستأجرين. لا تتأثر النشرات أحادية المستأجر (عندما تكون ENABLE_MULTI_TENANT غير مُعدّة أو false). تم إصلاح هذا الثغرة في الإصدار 2.51.2.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

13/05/2026

إفشاء

29/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-367226

CPE

جاهز

CWE

CWE-284 (مؤكد)

CVSS

8.1 (CNA)

EPSS

0.00033

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hospital, Insurance, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45707
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45707
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45707/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!