PT-2026-60107 · N8N-Mcp · N8N-Mcp
Publicado
2026-07-14
·
Atualizado
2026-07-15
·
CVE-2026-55608
CVSS v3.1
4.2
Média
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
n8n-mcp versões anteriores a 2.57.4
Description
No modo HTTP multi-tenant, um locatário autenticado pode acessar backups locais de
workflow versions de escopo padrão em vez de ser restringido ao seu próprio escopo de locatário. Este problema permite que um locatário HTTP MCP autenticado leia ou exclua backups de versões de fluxo de trabalho armazenados no escopo padrão de locatário único, como aqueles remanescentes de uma implantação anterior de locatário único ou período de migração. Os snapshots de fluxo de trabalho podem conter dados de configuração sensíveis. Este problema afeta especificamente o armazenamento local de versões de fluxo de trabalho do n8n-mcp e não impacta implantações stdio ou capacidades padrão da API do n8n.Recommendations
Atualize o n8n-mcp para a versão 2.57.4 ou posterior.
Restrinja o acesso à rede para o endpoint HTTP usando um firewall, proxy reverso ou VPN para garantir que apenas chamadores confiáveis tenham acesso.
Execute o software no modo stdio para eliminar a superfície HTTP multi-tenant.
Remova os backups de escopo padrão de implantações anteriores de locatário único, caso não sejam mais necessários.
Correção
Incorrect Authorization
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
N8N-Mcp