| Title | n8n-MCPにおけるサーバサイドのリクエストフォージェリの脆弱性 |
|---|---|
| Summary | n8n-MCPは、AIアシスタントにn8nノードのドキュメント、プロパティ、および操作への包括的なアクセスを提供するモデルコンテキストプロトコル(MCP)サーバーです。バージョン2.47.4以前では、認証済みのServer-Side Request Forgery(SSRF)がn8n-mcpに存在し、有効なAUTH_TOKENを持つ呼び出し元がマルチテナントHTTPヘッダーを通じて提供された任意のURLに対してサーバーにHTTPリクエストを発行させることが可能でした。レスポンスボディはJSON-RPCを通じて反映されるため、攻撃者はサーバーが到達可能な任意のURLの内容を読み取ることができました。これにはクラウドインスタンスのメタデータエンドポイント(AWS IMDS、GCP、Azure、Alibaba、Oracle)、内部ネットワークサービス、そしてサーバープロセスがネットワークアクセスを持つその他すべてのホストが含まれます。主にリスクがあるのは、複数のオペレーターが有効なAUTH_TOKENを提示できるマルチテナントHTTP環境、または信頼度の低いクライアントとトークンを共有している環境です。シングルテナントのstdio環境およびマルチテナントヘッダーを使用しないHTTP環境は影響を受けません。この脆弱性はバージョン2.47.4で修正されました。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 9, 2026, midnight |
| Registration Date | April 21, 2026, 10:42 a.m. |
| Last Update | April 21, 2026, 10:42 a.m. |
| CVSS3.0 : 重要 | |
| Score | 8.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
| n8n-MCP |
| n8n-MCP 2.47.4 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月21日] 掲載 |
April 21, 2026, 10:42 a.m. |
| Summary | n8n-MCP is a Model Context Protocol (MCP) server that provides AI assistants with comprehensive access to n8n node documentation, properties, and operations. Prior to 2.47.4, an authenticated Server-Side Request Forgery in n8n-mcp allows a caller holding a valid AUTH_TOKEN to cause the server to issue HTTP requests to arbitrary URLs supplied through multi-tenant HTTP headers. Response bodies are reflected back through JSON-RPC, so an attacker can read the contents of any URL the server can reach — including cloud instance metadata endpoints (AWS IMDS, GCP, Azure, Alibaba, Oracle), internal network services, and any other host the server process has network access to. The primary at-risk deployments are multi-tenant HTTP installations where more than one operator can present a valid AUTH_TOKEN, or where a token is shared with less-trusted clients. Single-tenant stdio deployments and HTTP deployments without multi-tenant headers are not affected. This vulnerability is fixed in 2.47.4. |
|---|---|
| Publication Date | April 10, 2026, 2:16 a.m. |
| Registration Date | April 15, 2026, 11:34 a.m. |
| Last Update | April 21, 2026, 3:32 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:n8n-mcp:n8n-mcp:*:*:*:*:*:*:*:* | 2.47.4 | ||||