CVE-2026-45582

Nome do Software Vulnerável e Versões Afetadas n8n-MCP versões anteriores a 2.51.3

Descrição O sanitizador de telemetria de fluxo de trabalho pode reter fragmentos parciais de parâmetros de nó em formato de URL antes de enviar os dados do fluxo de trabalho para o backend de telemetria anônima. Isso permite que valores em parâmetros de nó do tipo HTTP-Request — como identificadores de cliente ou locatário, segredos curtos incorporados em strings de consulta e parâmetros de requisição assinados — apareçam na telemetria armazenada. Este problema limita-se a campos em formato de URL em definições de fluxo de trabalho; credenciais, tokens OAuth e dados de execução de fluxo de trabalho não são afetados, pois são tratados por processos de remoção distintos e padrões dedicados.

Recomendações Atualize para a versão 2.51.3. Como medida paliativa temporária, desative a telemetria anônima definindo qualquer uma das seguintes variáveis de ambiente como true: N8N MCP TELEMETRY DISABLED, TELEMETRY DISABLED ou DISABLE TELEMETRY.