CVE-2026-42449 in n8n-mcp
Zusammenfassung
von VulDB • 28.05.2026
n8n-MCP ist ein MCP-Server, der KI-Assistenten Zugriff auf die Dokumentation, Eigenschaften und Operationen von n8n-Knoten bietet. In den Versionen 2.47.4 bis 2.47.13 enthielt der SDK-Embedder-Pfad (N8NDocumentationMCPServer-Konstruktor, getN8nApiClient() und validateInstanceContext()) sowie der synchrone URL-Validator in SSRFProtection.validateUrlSync() keine IPv6-Prüfungen. IPv4-zugewiesene IPv6-Adressen wie http://[::ffff:169.254.169.254] umgingen die Prüfungen für Cloud-Metadaten, localhost und private IP-Bereiche. Ein Angreifer, der in der Lage ist, einen n8nApiUrl-Wert bereitzustellen, kann den Server dazu bringen, HTTP-Anfragen an Cloud-Metadaten-Endpunkte, RFC1918-Private-Netzwerke oder localhost-Dienste zu senden. Antwortkörper werden an den Aufrufer zurückgegeben (nicht-blinder SSRF), und der n8nApiKey wird im x-n8n-api-key-Header an das vom Angreifer kontrollierte Ziel weitergeleitet. Projekte mit Bereitstellungen, die n8n-mcp als SDK unter Verwendung von N8NDocumentationMCPServer oder N8NMCPEngine mit benutzergestütztem InstanceContext einbetten, sind betroffen. Die First-Party-HTTP-Server-Bereitstellung war nicht primär betroffen – sie verfügt über einen zweiten asynchronen Validator (validateWebhookUrl), der IPv6-Adressen erfasst. Dieses Problem wurde in Version 2.47.14 behoben. Wenn Benutzer ein Upgrade nicht sofort durchführen können, können sie als Workaround URLs validieren, bevor sie an das SDK übergeben werden, den Egress auf Netzwerkebene einschränken und benutzergesteuerte n8nApiUrl-Werte ablehnen.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.