原文

n8n-MCPは、AIアシスタントにn8nノードのドキュメント、プロパティ、および操作へのアクセスを提供するMCPサーバーです。バージョン2.47.11以前では、n8n-mcpがHTTPトランスポートモードで動作している場合、POST /mcpエンドポイントへの着信リクエストのメタデータが認証結果に関係なくサーバーログに書き込まれていました。ログが収集され外部システムに転送されたり、リクエストの信頼境界外（共有ログストレージ、SIEMパイプライン、サポート・運用のアクセス）で閲覧可能な環境では、Authorizationヘッダーからのベアラートークン、マルチテナント環境におけるx-n8n-keyヘッダーからのテナント別APIキー、MCPエンドポイントに送信されたJSON-RPCリクエストペイロードが漏洩する可能性があります。アクセス制御自体は回避されておらず、認証されていないリクエストは正しく401 Unauthorizedで拒否されていましたが、拒否されたリクエストの機密情報がログに記録され続ける可能性がありました。この問題はバージョン2.47.11で修正されています。