漏洞总结:n8n-mcp 敏感请求数据泄露 漏洞概述 在 的 HTTP 传输模式下,发往 端点的请求元数据会被写入服务器日志。无论身份验证结果如何,这些日志都会被收集、转发到外部系统或供管理员查看。这导致敏感信息(如认证令牌、API 密钥、JSON-RPC 负载)被意外持久化存储。 CVSS 评分: 5.3 (Medium) 漏洞类型: CWE-532 (Insertion of Sensitive Information into Log File) 影响范围 受影响版本: v2.47.10 及更早版本。 受影响模式: 仅限 HTTP 传输模式 ( )。 不受影响: stdio 传输模式。 泄露数据: 认证头中的 Bearer Token。 多租户设置中 头里的每租户 API 密钥。 发送给 MCP 端点的 JSON-RPC 请求负载。 修复方案 升级版本: 升级至 v2.47.11 或更高版本。 安装命令: 临时缓解措施: 1. 限制网络访问(防火墙、反向代理或 VPN),仅允许受信任客户端访问端点。 2. 切换至 stdio 传输模式 ( ),该模式默认用于 CLI 调用且无 HTTP 表面。