製品・ソフトウェアに関する情報
Vulnerability Search
n8n-MCPにおけるサーバサイドのリクエストフォージェリの脆弱性
Title n8n-MCPにおけるサーバサイドのリクエストフォージェリの脆弱性
Summary

n8n-MCPは、AIアシスタントにn8nノードのドキュメント、プロパティ、および操作へのアクセスを提供するMCPサーバーです。バージョン2.47.4から2.47.13までの間において、SDKの埋め込みパス(N8NDocumentationMCPServerコンストラクタ、getN8nApiClient()、およびvalidateInstanceContext())、およびSSRFProtection.validateUrlSync()内の同期URLバリデータにはIPv6チェックがありませんでした。http://[::ffff:169.254.169.254]のようなIPv4マップドIPv6アドレスは、クラウドメタデータ、localhost、およびプライベートIPレンジの検査を回避しました。攻撃者がn8nApiUrlの値を指定できる場合、サーバーはクラウドメタデータエンドポイント、RFC1918プライベートネットワーク、またはlocalhostサービスにHTTPリクエストを発行させることが可能でした。レスポンスボディは呼び出し元に返され(非ブラインドSSRF)、n8nApiKeyはx-n8n-api-keyヘッダーで攻撃者が制御するターゲットに転送されます。N8NDocumentationMCPServerまたはN8NMCPEngineを使用し、ユーザー提供のInstanceContextを持つSDKとしてn8n-mcpを埋め込むプロジェクトが影響を受けます。ファーストパーティHTTPサーバーのデプロイメントは主に影響を受けません。これはIPv6アドレスを検知する2番目の非同期バリデータ(validateWebhookUrl)を備えているためです。この問題はバージョン2.47.14で修正されました。ユーザーがすぐにアップグレードできない場合の回避策としては、SDKに渡す前にURLを検証し、ネットワーク層でイーグレス制限を行い、ユーザーが制御するn8nApiUrl値を拒否することが推奨されます。

Possible impacts 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date May 7, 2026, midnight
Registration Date May 18, 2026, 12:14 p.m.
Last Update May 18, 2026, 12:14 p.m.
CVSS3.0 : 重要
Score 8.5
Vector CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
Affected System
n8n-MCP
n8n-MCP 2.47.4 以上 2.47.14 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年05月18日]
  掲載		 May 18, 2026, 12:14 p.m.
NVD Vulnerability Information
CVE-2026-42449
Summary

n8n-MCP is an MCP server that provides AI assistants access to n8n node documentation, properties, and operations. In versions 2.47.4 through 2.47.13, the SDK embedder path (N8NDocumentationMCPServer constructor, getN8nApiClient(), and validateInstanceContext()), the synchronous URL validator in SSRFProtection.validateUrlSync() had no IPv6 checks. IPv4-mapped IPv6 addresses such as http://[::ffff:169.254.169.254] bypassed the cloud-metadata, localhost, and private-IP range checks. An attacker able to supply an n8nApiUrl value could cause the server to issue HTTP requests to cloud metadata endpoints, RFC1918 private networks, or localhost services. Response bodies are returned to the caller (non-blind SSRF), and the n8nApiKey is forwarded in the x-n8n-api-key header to the attacker-controlled target. Projects with deployments embedding n8n-mcp as an SDK using N8NDocumentationMCPServer or N8NMCPEngine with user-supplied InstanceContext are affected. The first-party HTTP server deployment was not primarily affected — it has a second async validator (validateWebhookUrl) that catches IPv6 addresses. This issue has been fixed in version 2.47.14. If users are unable to upgrade immediately as a workaround they can validate URLs before passing to the SDK, restrict egress at the network layer, and reject user-controlled n8nApiUrl values.

Publication Date May 8, 2026, 6:16 a.m.
Registration Date May 9, 2026, 4:11 a.m.
Last Update May 15, 2026, 2:37 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:n8n-mcp:n8n-mcp:*:*:*:*:*:*:*:* 2.47.4 2.47.14
Related information, measures and tools
Common Vulnerabilities List