JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-016129 n8n-MCPは、AIアシスタントにn8nノードのドキュメント、プロパティ、および操作へのアクセスを提供するMCPサーバーです。バージョン2.47.13より前のn8n-MCPは、HTTPトランスポートモードで動作している場合、認証済みのMCPツール呼び出しリクエストの完全な引数およびJSON-RPCパラメータが、リクエストディスパッチャおよびいくつかの関連コードパスにより、何らかのレダクションが行われる前にサーバーログに記録されていました。ツール呼び出しに資格情報（特にn8n_manage_credentials.data）が含まれる場合、生の値がログに永続化される可能性があります。ログが収集され外部システムへ転送されたり、リクエストの信頼境界外（共有ログストレージ、SIEMパイプライン、サポートや運用担当者のアクセス）で閲覧可能な展開環境では、以下の情報が漏えいする可能性があります：n8n_manage_credentialsを通じて送信されたベアラトークンおよびOAuth資格情報、ツール引数に埋め込まれたテナントごとのAPIキーおよびWebhook認証ヘッダー、任意のシークレットを含むペイロードが任意のMCPツールに渡された場合。この問題は認証（サーバーが受け入れるAUTH_TOKEN）を必要とするため、未認証の呼び出し者はトリガーできません。また、HTTPモードでの既存のコンソールサイレンスレイヤによりランタイムでの露出は軽減されていますが、このレイヤは脆弱であり、値は依然としてログ記録用に構築されて渡されています。この問題はバージョン2.47.13で修正されました。 cpe:/a:n8n-mcp:n8n-mcp https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-016129.html Common Vulnerabilities and Exposures (CVE) CVE-2026-42282 https://www.cve.org/CVERecord?id=CVE-2026-42282 National Vulnerability Database (NVD) CVE-2026-42282 https://nvd.nist.gov/vuln/detail/CVE-2026-42282 GitHub Sensitive MCP tool-call arguments logged on authenticated requests in HTTP mode Advisory czlonkowski/n8n-mcp GitHub https://github.com/czlonkowski/n8n-mcp/security/advisories/GHSA-wg4g-395p-mqv3 JVNDB CWE-532 https://cwe.mitre.org/data/definitions/532.html 関連文書 Release Release v2.47.13 czlonkowski/n8n-mcp GitHub https://github.com/czlonkowski/n8n-mcp/releases/tag/v2.47.13 関連文書 Merge commit from fork czlonkowski/n8n-mcp@59b665b GitHub https://github.com/czlonkowski/n8n-mcp/commit/59b665bda36797823df238aeaf20adb862c9f451 2026-05-18T12:14:48+09:00 2026-05-18T12:14:48+09:00