Kritische LĂĽcke in Automatisierungstool: n8n erlaubt Codeschmuggel
Im beliebten Werkzeug zur Erstellung von No-Code-Arbeitsabläufen klaffen gleich vier kritische Lücken, eine mit Höchstwertung. Admins sollten schnell patchen.
(Bild: amgun/ Shutterstock.com)
Die No-Code-Automatisierungslösung n8n erfreut sich großer Beliebtheit, erlaubt sie doch auch Programmieranfängern, mit einem grafischen Werkzeug komplexe Abläufe einzurichten, API-Anfragen zu stellen und LLMs automatisiert zu nutzen. Vier kritische Sicherheitslücken, eine davon gar mit der Maximalwertung von 10 Punkten, verleiden Systemverwaltern jedoch aktuell die Freude an dem Werkzeug. Experten sind uneins, wie kritisch die Lücke ist.
Wenn Sicherheitslücken mit griffigen, möglichst gruselig klingenden Namen auftauchen, ahnt der geneigte Leser oft nichts Gutes, so auch bei „Ni8mare“. So nannte die Sicherheitsfirma Cyera den Fehler mit der CVE-ID CVE-2026-21858 und stufte ihn als kritisch ein – nebst CVSS-Maximalwertung von 10. Sobald ein per n8n erstelltes Webformular aus dem Web zugänglich ist, sei es Angreifern möglich, beliebige Dateien des n8n-Servers auszulesen.
Doch eine neue Analyse der Lücke durch Horizon3.ai relativiert das Risiko: Zwar sei die Sicherheitslücke tatsächlich vorhanden und aus der Ferne ausnutzbar, doch gebe es mehrere Vorbedingungen, die bei keinem Kunden des Unternehmens erfüllt seien. So fehle es meist an einer Möglichkeit, die gewonnenen Daten zu exfiltrieren. Admins sollten ihre n8n-Instanzen flicken, Panik sei jedoch unangebracht.
Videos by heise
LĂĽckenwirrwarr mit und ohne PoC
Zusätzlich zu „Ni8mare“ gibt es noch „N8scape“ (CVE-2025-68668, CVSS 9,9, kritisch), eine bereits in der Weihnachtszeit publizierte Lücke, die angemeldeten Nutzern ungeplant erlaubt, Python-Code auf dem n8n-Hostsystem auszuführen. Dafür müssen sie jedoch ausreichend Berechtigungen besitzen, um Arbeitsabläufe zu erstellen oder zu verändern. Ebenfalls ungeplante Codeausführung bietet CVE-2027-21877 (CVSS 9,9, kritisch).
Die aktuell größte Gefahr geht jedoch von einer Lücke aus, die gar nicht als kritisch ausgewiesen ist: CVE-2025-68613 stellt zwar mit einem CVSS-Punktwert von 8,8 „nur“ eine „hohe“ Gefahr dar, lässt sich aber mit „Ni8mare“ verknüpfen, wie ein „Proof of Concept“-Exploit (PoC) beweist. Setzt man diesen auf eine verwundbare n8n-Instanz an, so lassen sich nicht nur Dateien des Hostsystems auslesen, sondern zusätzlich beliebige Systemkommandos ausführen (Remote Code Execution, RCE). Die abwiegelnde Analyse von Horizon3.ai mag also für „Ni8mare“ allein stimmen, erweist sich aber im Zusammenspiel mit einer zusätzlichen Sicherheitslücke als trügerisch.
Update auf 2.0.0 empfohlen
Wer n8n auf eigenen Systemen einsetzt, etwa als Docker-Container, sollte direkt ein Update auf Version 2.0.0 erwägen. Zwar sind einige der kritischen Sicherheitslücken auch in Versionen des 1.x-Baums behoben, doch dessen Produktunterstützung endet bald: Am 15. März 2026 ist Schluss, drei Monate nach Veröffentlichung von n8n 2.0.0.
Neben den vier kritischen LĂĽcken finden sich in der SicherheitslĂĽcken-Ăśbersicht auf GitHub weitere Sicherheitsprobleme, die in den letzten Tagen und Wochen bereinigt wurden.
n8n ist eine deutsche Start-up-Erfolgsgeschichte. Das Projekt gewann kürzlich mit einem Zuwachs von 112.400 GitHub-Sternen im Jahr 2025 die „Rising Stars“ des beliebtesten JavaScript-Projekts, die dahinterstehende n8n GmbH gilt nach einer neunstelligen Finanzspritze als „Einhorn“ mit einer Bewertung von 2,5 Milliarden US-Dollar.
(cku)
