| タイトル | n8n-MCPにおけるサーバサイドのリクエストフォージェリの脆弱性 |
|---|---|
| 概要 | n8n-MCPは、AIアシスタントにn8nノードのドキュメント、プロパティ、および操作へのアクセスを提供するMCPサーバーです。バージョン2.47.4から2.47.13までの間において、SDKの埋め込みパス(N8NDocumentationMCPServerコンストラクタ、getN8nApiClient()、およびvalidateInstanceContext())、およびSSRFProtection.validateUrlSync()内の同期URLバリデータにはIPv6チェックがありませんでした。http://[::ffff:169.254.169.254]のようなIPv4マップドIPv6アドレスは、クラウドメタデータ、localhost、およびプライベートIPレンジの検査を回避しました。攻撃者がn8nApiUrlの値を指定できる場合、サーバーはクラウドメタデータエンドポイント、RFC1918プライベートネットワーク、またはlocalhostサービスにHTTPリクエストを発行させることが可能でした。レスポンスボディは呼び出し元に返され(非ブラインドSSRF)、n8nApiKeyはx-n8n-api-keyヘッダーで攻撃者が制御するターゲットに転送されます。N8NDocumentationMCPServerまたはN8NMCPEngineを使用し、ユーザー提供のInstanceContextを持つSDKとしてn8n-mcpを埋め込むプロジェクトが影響を受けます。ファーストパーティHTTPサーバーのデプロイメントは主に影響を受けません。これはIPv6アドレスを検知する2番目の非同期バリデータ(validateWebhookUrl)を備えているためです。この問題はバージョン2.47.14で修正されました。ユーザーがすぐにアップグレードできない場合の回避策としては、SDKに渡す前にURLを検証し、ネットワーク層でイーグレス制限を行い、ユーザーが制御するn8nApiUrl値を拒否することが推奨されます。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月7日0:00 |
| 登録日 | 2026年5月18日12:14 |
| 最終更新日 | 2026年5月18日12:14 |
| CVSS3.0 : 重要 | |
| スコア | 8.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
| n8n-MCP |
| n8n-MCP 2.47.4 以上 2.47.14 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月18日] 掲載 |
2026年5月18日12:14 |
| 概要 | n8n-MCP is an MCP server that provides AI assistants access to n8n node documentation, properties, and operations. In versions 2.47.4 through 2.47.13, the SDK embedder path (N8NDocumentationMCPServer constructor, getN8nApiClient(), and validateInstanceContext()), the synchronous URL validator in SSRFProtection.validateUrlSync() had no IPv6 checks. IPv4-mapped IPv6 addresses such as http://[::ffff:169.254.169.254] bypassed the cloud-metadata, localhost, and private-IP range checks. An attacker able to supply an n8nApiUrl value could cause the server to issue HTTP requests to cloud metadata endpoints, RFC1918 private networks, or localhost services. Response bodies are returned to the caller (non-blind SSRF), and the n8nApiKey is forwarded in the x-n8n-api-key header to the attacker-controlled target. Projects with deployments embedding n8n-mcp as an SDK using N8NDocumentationMCPServer or N8NMCPEngine with user-supplied InstanceContext are affected. The first-party HTTP server deployment was not primarily affected — it has a second async validator (validateWebhookUrl) that catches IPv6 addresses. This issue has been fixed in version 2.47.14. If users are unable to upgrade immediately as a workaround they can validate URLs before passing to the SDK, restrict egress at the network layer, and reject user-controlled n8nApiUrl values. |
|---|---|
| 公表日 | 2026年5月8日6:16 |
| 登録日 | 2026年5月9日4:11 |
| 最終更新日 | 2026年5月15日2:37 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:n8n-mcp:n8n-mcp:*:*:*:*:*:*:*:* | 2.47.4 | 2.47.14 | |||