技术说明
两个关键漏洞影响n8n的MCP(模型上下文协议)OAuth客户端注册和资源管理。CVE-2026-42235:未经身份验证的攻击者可以使用精心制作的client_name注册恶意MCP OAuth客户端。如果受害用户授权同意对话框,且第二个用户随后撤销访问权限,恶意client_name会在撤销流程中被反射,从而启用XSS或开放重定向攻击。CVE-2026-42236:MCP OAuth客户端注册端点接受未经身份验证的请求并存储客户端数据而无资源控制,允许远程攻击者通过注册无限数量的恶意客户端来耗尽服务器内存或存储空间。
攻击途径
CVE-2026-42235:攻击者注册恶意OAuth客户端,在client_name中嵌入XSS负载或开放重定向URL。当用户撤销OAuth授权时,n8n在撤销UI中反射未经净化的client_name,触发负载并可能泄露会话令牌或将用户重定向到钓鱼网站。CVE-2026-42236:攻击者通过未经身份验证的端点脚本化大量注册OAuth客户端,用虚假条目淹没服务器直到内存或存储耗尽,造成拒绝服务并阻止合法OAuth工作流的正常运行。
受影响系统
1.123.32、2.17.4和2.18.1之前的n8n版本。n8n是一个流行的开源工作流自动化平台,用于编排AI代理、集成API和自动化业务流程。它在企业环境中广泛部署,并被构建代理AI系统的开发者使用。
缓解措施
升级到n8n版本1.123.32、2.17.4或2.18.1或更高版本。立即审核所有MCP OAuth客户端注册,查找可疑或格式错误的client_name值。如果无法立即升级,在/mcp-oauth/register端点上实施速率限制和身份验证要求。使用n8n进行代理AI工作流的组织应审查已注册的OAuth客户端,并撤销任何看起来未经授权或可疑的客户端。