CVE-2026-41495

Nome do Software Vulnerável e Versões Afetadas n8n-mcp versões anteriores a 2.47.11

Descrição Ao operar no modo de transporte HTTP, as solicitações recebidas no endpoint 'POST /mcp' têm seus metadados de solicitação gravados nos logs do servidor, independentemente do resultado da autenticação. Isso pode levar à divulgação de informações sensíveis em ambientes onde os logs são coletados ou encaminhados para sistemas externos, como pipelines de SIEM ou armazenamento compartilhado. Os dados expostos podem incluir tokens bearer do cabeçalho Authorization, chaves de API por locatário do cabeçalho x-n8n-key em configurações multi-tenant e payloads de solicitação JSON-RPC. Embora as solicitações não autenticadas sejam corretamente rejeitadas com uma resposta 401 Unauthorized, os valores sensíveis dessas solicitações ainda são persistidos nos logs.

Recomendações Atualize para a versão 2.47.11 ou posterior. Restrinja o acesso de rede à porta HTTP usando um firewall, proxy reverso ou VPN para garantir que apenas clientes confiáveis possam acessar o endpoint. Altere para o transporte stdio definindo MCP MODE=stdio para eliminar a superfície HTTP.