CVE-2026-42282

Nome do Software Vulnerável e Versões Afetadas n8n-mcp versões anteriores a 2.47.13

Descrição Ao operar no modo de transporte HTTP, as solicitações autenticadas de tools/call têm seus argumentos completos e parâmetros JSON-RPC gravados nos logs do servidor pelo despachador de solicitações e caminhos de código relacionados antes que ocorra qualquer redação. Isso pode levar à divulgação de informações sensíveis em ambientes onde os logs são coletados ou encaminhados para sistemas externos, como pipelines de SIEM ou armazenamento compartilhado. Os dados expostos podem incluir tokens de portador (bearer tokens), credenciais OAuth enviadas via n8n manage credentials.data, chaves de API por locatário, cabeçalhos de autenticação de webhook e outras cargas úteis contendo segredos. O problema requer um AUTH TOKEN válido para autenticação. Embora exista uma camada de silenciamento de console no modo HTTP, ela é frágil e não impede que os valores sejam passados para o logger.

Recomendações Atualize para a versão 2.47.13 ou posterior. Restrinja o acesso à porta HTTP usando um firewall, proxy reverso ou VPN para garantir que apenas clientes confiáveis possam se autenticar. Restrinja o acesso aos logs do servidor e desative a ingestão compartilhada de SIEM até que a atualização seja aplicada. Altere para o transporte stdio definindo MCP MODE=stdio para evitar a superfície HTTP afetada e as chamadas de log.