漏洞  ·  2026-07-17

n8n-MCP — 多租户 HTTP 模式下工作流版本备份的跨租户访问

漏洞High 影响GlobalCVE-2026-54052
n8n-mcp 是一个 MCP 服务器,为 AI 助手提供对 n8n 节点文档和操作的访问权限。它在多租户 HTTP 部署模式下未能按租户隔离工作流版本备份存储,导致暴露其他租户存储的凭证引用和授权标头。
n8n-mcp 让 AI 代理能够操作 n8n 自动化工作流;在共享 MCP 部署中的跨租户突破可能泄露 API 凭证,并让一个租户摧毁另一租户的自动化历史记录,这对多租户代理自动化平台构成严重的保密性和完整性故障。
在启用多租户的 HTTP 模式下,本地工作流版本历史备份存储时缺乏按租户隔离,允许已认证租户读取、删除或销毁其他租户存储的工作流快照 — 这些快照包括完整的节点定义,如凭证引用和授权标头。
n8n-mcp 2.56.1 之前的版本
升级到 n8n-mcp 2.56.1 或更高版本。
GitLab Advisory DatabaseNVD CVE-2026-54052
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →