n8n-MCP — это сервер протокола контекста модели (MCP), который предоставляет ИИ-помощникам полный доступ к документации, свойствам и операциям узла n8n. До версии 2.47.4 аутентифицированная подделка запроса на стороне сервера в n8n-mcp позволяла вызывающему абоненту, имеющему действительный AUTH_TOKEN, заставлять сервер отправлять HTTP-запросы на произвольные URL-адреса, предоставляемые через многотенантные HTTP-заголовки. Тела ответов отражаются обратно через JSON-RPC, поэтому злоумышленник может прочитать содержимое любого URL-адреса, к которому может обратиться сервер, включая конечные точки метаданных облачного экземпляра (AWS IMDS, GCP, Azure, Alibaba, Oracle), внутренние сетевые службы и любой другой хост, к которому серверный процесс имеет сетевой доступ.
Основными развертываниями, подверженными риску, являются мультитенантные установки HTTP, где более одного оператора могут предоставить действительный AUTH_TOKEN или где токен используется совместно с менее доверенными клиентами. Однопользовательские развертывания stdio и развертывания HTTP без многопользовательских заголовков не затрагиваются. Эта уязвимость исправлена в версии 2.47.4.
Показать оригинальное описание (EN)
n8n-MCP is a Model Context Protocol (MCP) server that provides AI assistants with comprehensive access to n8n node documentation, properties, and operations. Prior to 2.47.4, an authenticated Server-Side Request Forgery in n8n-mcp allows a caller holding a valid AUTH_TOKEN to cause the server to issue HTTP requests to arbitrary URLs supplied through multi-tenant HTTP headers. Response bodies are reflected back through JSON-RPC, so an attacker can read the contents of any URL the server can reach — including cloud instance metadata endpoints (AWS IMDS, GCP, Azure, Alibaba, Oracle), internal network services, and any other host the server process has network access to. The primary at-risk deployments are multi-tenant HTTP installations where more than one operator can present a valid AUTH_TOKEN, or where a token is shared with less-trusted clients. Single-tenant stdio deployments and HTTP deployments without multi-tenant headers are not affected. This vulnerability is fixed in 2.47.4.
Характеристики атаки
Последствия
Строка CVSS v3.1