CVE-2026-41495 n8n-MCPサーバー認証バイパスによるログ情報漏洩リスク AI Security対応とバイブコーダー向け実務手順

結論

• 危険度: Medium (CVSS 5.3)
• 対象: n8n-mcp < 2.47.11
• 修正: 2.47.11
• KEV: No (NVD Critical由来。CISA KEVには未登録)

最終更新: 2026-05-12 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP 1: 何が起きているか

一言でいうと

CVE-2026-41495はn8n-mcp v2.47.11未満で、認証失敗のリクエスト情報がサーバーログに記録されます。攻撃者はAPIキーや認証トークンを読み取れ、AI/LLM Gatewayの運用者に重大なリスクです。

やさしく説明すると

あなたのAIアシスタントサーバーの玄関に鍵がかかっていても、その前で入り口に来た人の鍵の情報を大声で記録してしまっているイメージです。悪い人がログを見れば、その鍵（APIキーやトークン）を盗めてしまいます。認証自体は突破できませんが、情報漏えいが起こります。

技術的な原因

この脆弱性はCWE-532（露出された機密情報）に分類されます。n8n-MCPがHTTPモードのとき、認証に失敗したリクエストのメタデータをログに記録していました。これにより、正しく拒否されたリクエストの認証ヘッダー情報もログに含まれます。アクセス制御は回避されませんが、ログに機密情報が残り、外部に漏れるリスクがあります。

影響を受けると何が困るか

• APIキー(OpenAIやAnthropic等)の漏洩による不正利用
• LLMゲートウェイ向けトークンの盗難やなりすまし
• マルチテナント環境でのテナント間情報漏洩
• AIエージェント用認証情報の漏洩によるエージェント乗っ取りリスク
• ログが外部に転送されている場合、幅広い情報漏洩の拡大
• AI駆動開発ツール(Cursor/Cline/Copilot等)のAPI連携破壊・乗っ取りリスクの間接的増大

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 中

判断根拠

• CVSSスコアは5.3でMedium。実務では「悪用の難易度は低いが、影響範囲は限定的」
• EPSSスコアは0.05%と低く、直近30日での悪用予測は少ない
• ランサムウェア悪用観測は報告されていない
• 公開PoCは存在しない（GitHub Advisory Database上で確認）
• 攻撃はネットワーク経由で可能。認証なしでリクエストできるが401 Unauthorizedで拒否される
• ただし認証失敗時でも認証情報がログに記録されてしまうため、ログ管理の設定次第で情報漏洩リスクが高まる

誰が動くべきか

• n8n-mcpを利用しているLLM GatewayやAgentic MCPサーバ運用者
• ログを外部転送しているSRE/SecOpsチーム
• マルチテナント構成でAPIキー管理している環境のインフラ運用チーム
• AI駆動開発ツール(Cursor/Cline/Aider/GitHub Copilot等)の連携にn8n-mcpを用いている開発者

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

バージョン確認コマンド

Node.js（npm）

npm list n8n-mcp

出力例:

your-project@1.0.0 /path/to/project
└── n8n-mcp@2.46.0

判定: バージョンが 2.47.11 未満なら脆弱です。

設定確認

この脆弱性はHTTPモードで動作している場合に発生します。設定ファイルや起動オプションでn8n-mcpのHTTPトランスポートモードの有無を確認してください。設定依存の部分はここだけです。その他の設定変更による緩和策は提示されていません。

Nucleiテンプレートでの検出

本件に関する公開Nucleiテンプレートは現時点で存在しません。バージョン確認により安全性を判定してください。

STEP 4: 修正を適用する

パッチ適用

Node.js（npm）

npm install n8n-mcp@2.47.11

判定: バージョンが 2.47.11 以上になるまでアップグレードしてください。

注意: アップグレード前に必ず動作環境のバックアップを取得してください。ステージング環境で動作検証を実施し、本番環境のダウンタイム計画を立ててから実施してください。

パッチ即時適用ができない場合の暫定対応

本脆弱性に対する公式な暫定対応は提示されていません。ログ転送先のアクセス制御を強化したり、HTTPモードを停止して別のモード（例：HTTPSモード）に切り替えることを検討してください。

STEP 5: 修正されたことを確認する

STEP 3で実行したコマンドを再度実行し、修正済みバージョンか確認してください。

期待される出力

Node.js（npm）

npm list n8n-mcp

出力例:

your-project@1.0.0 /path/to/project
└── n8n-mcp@2.47.11

判定: バージョンが 2.47.11 以上ならOKです。

追加で確認すべきこと

ログに機密情報が残らなくなっているか、ログ管理設定も点検してください。Nucleiテンプレートは提供されていませんが、既存のログ監査やSIEMルールの更新もおすすめします。

補足: 悪用観測状況

現時点でCISA KEVには未登録であり、ランサムウェアなどによる悪用観測はありません。GitHub上にも公開PoCは存在しません。EPSSスコアも低いため、現状では実際の攻撃は報告されていません。

補足: CVSSメトリクス詳細

• AV（攻撃元）: NETWORK – ネットワーク経由で攻撃可能
• AC（攻撃複雑度）: LOW – 必要な技術的な条件は少ない
• PR（必要権限）: NONE – 認証不要で攻撃可能
• UI（ユーザ操作）: NONE – ユーザの介在不要
• S（スコープ）: UNCHANGED – 権限範囲は変化しない
• C（機密性影響）: LOW – 情報が一部漏洩するが限定的
• I（完全性影響）: NONE – データ改ざん等は起きない
• A（可用性影響）: NONE – サービス停止や拒否は発生しない

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. まずSTEP 3のバージョン確認を実施してください。対象ならSTEP 4で 2.47.11 以上にアップグレードし、STEP 5で反映を確認することが必須です。

Q. パッチが適用できない場合、どうすればよいですか？

A. 現状、公式の暫定対応はありません。ログの転送設定見直しやHTTPモードの停止など、情報漏洩リスク軽減のための環境設定変更を考慮してください。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. 攻撃自体は認証で拒否されますが、機密情報がログに保存されるため、ログにトークンやAPIキーが記録されていないか監査してください。悪用が疑われるアクセスログの分析も重要です。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは脆弱性の理論的な深刻度を示しますが、EPSSは実際に悪用される可能性を示す指標です。双方を使って優先順位を正確に判断できます。

Q. このCVEと類似の脆弱性は他にもありますか？

A. CWE-532（機密情報漏洩）に分類される脆弱性は他にもあります。主にログ管理や認証失敗時の情報漏えいが原因で、似たパターンの問題がAI Security関連プロダクトにも発生しています。

参考文献

• NVD詳細情報（米国NIST）
• n8n-mcp v2.47.11 リリース（修正パッチ）
• GitHub Advisory Database 脆弱性アドバイザリ

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• Medium脆弱性 に関するCVE・脆弱性記事一覧
• API セキュリティ に関するCVE・脆弱性記事一覧
• AI Agent に関するCVE・脆弱性記事一覧