CVE-2026-41495 in n8n-mcp
要約
〜によって VulDB • 2026年05月10日
n8n-MCPは、AIアシスタントがn8nノードのドキュメント、プロパティ、および操作にアクセスできるようにするMCPサーバーです。バージョン2.47.11より前では、n8n-mcpがHTTPトランスポートモードで実行されている場合、POST /mcpエンドポイントへの着信リクエストのメタデータは、認証の結果に関係なくサーバーログに記録されていました。ログが収集され、外部システムに転送される、またはリクエストの信頼境界外(共有ログストレージ、SIEMパイプライン、サポート/運用チームのアクセスなど)で参照可能なデプロイメント環境では、以下の情報が漏洩する可能性があります:Authorizationヘッダーからのベアラートークン、マルチテナント環境におけるx-n8n-keyヘッダーからのテナント固有のAPIキー、MCPエンドポイントに送信されたJSON-RPCリクエストペイロード。アクセス制御自体が回避されたわけではありません——認証されていないリクエストは正しく401 Unauthorizedで拒否されました——が、拒否されたリクエストから機密値がログに永続的に保存される可能性がありました。この問題はバージョン2.47.11で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.