JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-016135 n8n-MCPは、AIアシスタントにn8nノードのドキュメント、プロパティ、および操作へのアクセスを提供するMCPサーバーです。バージョン2.47.11以前では、n8n-mcpがHTTPトランスポートモードで動作している場合、POST /mcpエンドポイントへの着信リクエストのメタデータが認証結果に関係なくサーバーログに書き込まれていました。ログが収集され外部システムに転送されたり、リクエストの信頼境界外（共有ログストレージ、SIEMパイプライン、サポート・運用のアクセス）で閲覧可能な環境では、Authorizationヘッダーからのベアラートークン、マルチテナント環境におけるx-n8n-keyヘッダーからのテナント別APIキー、MCPエンドポイントに送信されたJSON-RPCリクエストペイロードが漏洩する可能性があります。アクセス制御自体は回避されておらず、認証されていないリクエストは正しく401 Unauthorizedで拒否されていましたが、拒否されたリクエストの機密情報がログに記録され続ける可能性がありました。この問題はバージョン2.47.11で修正されています。 cpe:/a:n8n-mcp:n8n-mcp https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-016135.html Common Vulnerabilities and Exposures (CVE) CVE-2026-41495 https://www.cve.org/CVERecord?id=CVE-2026-41495 National Vulnerability Database (NVD) CVE-2026-41495 https://nvd.nist.gov/vuln/detail/CVE-2026-41495 GitHub Sensitive Request Data Logged on Unauthorized /mcp Requests Advisory czlonkowski/n8n-mcp GitHub https://github.com/czlonkowski/n8n-mcp/security/advisories/GHSA-pfm2-2mhg-8wpx JVNDB CWE-532 https://cwe.mitre.org/data/definitions/532.html 関連文書 Release Release v2.47.11 czlonkowski/n8n-mcp GitHub https://github.com/czlonkowski/n8n-mcp/releases/tag/v2.47.11 2026-05-18T12:15:07+09:00 2026-05-18T12:15:07+09:00