CVE-2026-45582
ŚrednieCVSS 6.5Streszczenie
n8n-MCP to serwer MCP, który umożliwia asystentom AI dostęp do dokumentacji, właściwości i operacji węzłów n8n. Przed wersją 2.51.3, sanitarz telemetrii workflow mógł zachować częściowe fragmenty parametrów węzłów w formacie URL przed wysłaniem danych workflow do anonimowego backendu telemetrii projektu.
Ocena ryzyka
Wartości umieszczone w parametrach węzłów w stylu żądania HTTP, takie jak identyfikatory klientów lub najemców, mogły pojawić się w przechowywanej telemetrii, co narusza dokumentację dotyczącą granic zbierania danych. Może to prowadzić do ujawnienia wrażliwych informacji.
Rekomendacja
Zaleca się aktualizację do wersji 2.51.3, aby usunąć tę podatność i zabezpieczyć przechowywane dane telemetrii przed ujawnieniem wrażliwych informacji.
Oryginalny opis (angielski, źródło NVD)
n8n-MCP is an MCP server that provides AI assistants access to n8n node documentation, properties, and operations. Prior to 2.51.3, the workflow telemetry sanitizer could retain partial fragments of URL-shaped node parameters before sending workflow data to the project's anonymous telemetry backend. Values placed in HTTP-Request-style node parameters — such as customer or tenant identifiers, short secrets embedded in query strings, and signed request parameters — could therefore appear in stored telemetry, contrary to the collection boundary documented in PRIVACY.md. This vulnerability is fixed in 2.51.3.

