CVE-2026-41495 in n8n-mcpinfo

Zusammenfassung

von VulDB • 09.05.2026

n8n-MCP ist ein MCP-Server, der KI-Assistenten Zugriff auf die Dokumentation, Eigenschaften und Operationen von n8n-Knoten bereitstellt. Vor Version 2.47.11 wurden bei Ausführung von n8n-mcp im HTTP-Transportmodus die Anforderungsmetadaten eingehender Anfragen an den POST /mcp-Endpunkt unabhängig vom Authentifizierungsergebnis in den Server-Logs gespeichert. In Bereitstellungen, in denen Logs gesammelt, an externe Systeme weitergeleitet oder außerhalb der Vertrauensgrenze der Anfrage einsehbar sind (z. B. gemeinsam genutzter Log-Speicher, SIEM-Pipelines, Zugriff durch Support/Operations), kann dies zur Offenlegung folgender sensibler Daten führen: Bearer-Tokens aus dem Authorization-Header, mandantenspezifische API-Schlüssel aus dem x-n8n-key-Header in Multi-Tenant-Setups sowie JSON-RPC-Anforderungspayloads, die an den MCP-Endpunkt gesendet werden. Die Zugriffskontrolle selbst wurde nicht umgangen – nicht authentifizierte Anfragen wurden korrekt mit 401 Unauthorized abgewiesen –, aber sensible Werte aus diesen abgewiesenen Anfragen konnten dennoch in den Logs persistiert werden. Dieses Problem wurde in Version 2.47.11 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

20.04.2026

Veröffentlichung

08.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362334

CPE

bereit

EPSS

0.00081

KEV

nein

Aktivitäten

very low

Sektor

Police, Hospital, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41495
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41495
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41495/

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!