PT-2026-60107 · N8N-Mcp · N8N-Mcp

Publicado

2026-07-14

·

Atualizado

2026-07-15

·

CVE-2026-55608

CVSS v3.1

4.2

Média

VetorAV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas n8n-mcp versões anteriores a 2.57.4
Description No modo HTTP multi-tenant, um locatário autenticado pode acessar backups locais de workflow versions de escopo padrão em vez de ser restringido ao seu próprio escopo de locatário. Este problema permite que um locatário HTTP MCP autenticado leia ou exclua backups de versões de fluxo de trabalho armazenados no escopo padrão de locatário único, como aqueles remanescentes de uma implantação anterior de locatário único ou período de migração. Os snapshots de fluxo de trabalho podem conter dados de configuração sensíveis. Este problema afeta especificamente o armazenamento local de versões de fluxo de trabalho do n8n-mcp e não impacta implantações stdio ou capacidades padrão da API do n8n.
Recommendations Atualize o n8n-mcp para a versão 2.57.4 ou posterior. Restrinja o acesso à rede para o endpoint HTTP usando um firewall, proxy reverso ou VPN para garantir que apenas chamadores confiáveis tenham acesso. Execute o software no modo stdio para eliminar a superfície HTTP multi-tenant. Remova os backups de escopo padrão de implantações anteriores de locatário único, caso não sejam mais necessários.

Correção

Incorrect Authorization

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55608
GHSA-2CF7-HPWF-47H9

Produtos afetados

N8N-Mcp