何が起きたか
AI アシスタントに n8n ノードドキュメントと操作へのアクセスを与える MCP サーバーである n8n-mcp は、マルチテナント HTTP デプロイメントモード内のテナントあたりのワークフローバージョンバックアップストレージを分離できず、他のテナントの保存された認証情報参照および認可ヘッダーを公開しました。
なぜ重要か
n8n-mcp は AI エージェントに n8n オートメーションワークフローを操作させています。共有 MCP デプロイメント内のクロステナント破壊は API 認証情報をリークでき、一つのテナントが別のテナントのオートメーション履歴を破壊させています。これはマルチテナントエージェント的オートメーションプラットフォームの深刻な機密性および完全性の失敗です。
攻撃経路
HTTP モードでマルチテナンシーが有効な場合、ローカルワークフローバージョン履歴バックアップはテナントあたりの分離なしで保存され、認証されたテナントが他のテナントの保存されたワークフロースナップショット(認証情報参照や認可ヘッダーなどの完全なノード定義を含む)を読み取り、削除、または破壊できるようにしました。
影響を受けるシステム
n8n-mcp 2.56.1 前
緩和策
n8n-mcp 2.56.1 以降にアップグレードしてください。