Automatisierungstool n8n: Aufräumen von Sicherheitslücken
Im Automatisierungstool n8n haben die Entwickler weitere Sicherheitslücken gestopft. Ein Update auf die jüngste Fassung ist empfehlenswert.
(Bild: janews/Shutterstock.com)
In der Nacht zum Donnerstag wurden zehn neue Schwachstelleneinträge zum quelloffenen Workflow-Automatisierungstool n8n veröffentlicht. Die behandeln sechs als kritisches Risiko eingestufte Schwachstellen, die restlichen gelten immer noch als hochriskant.
Zehn Sicherheitslücken in n8n
Die Lücken betreffen teils jedoch ältere Fassungen von n8n – wer also die Software vor einiger Zeit installiert und sich noch nicht um Aktualisierungen geschert hat, sollte jetzt auf die aktuelle Fassung updaten. Eine Einzelbetrachtung der Schwachstellen würde den Rahmen der Meldung sprengen. Eine Auflistung der neuen CVE-Einträge nach Schweregrad sortiert bietet jedoch einen Überblick, Details finden sich auf der n8n-Sicherheitsseite:
- Befehlsschmuggel-Schwachstelle in n8n von 0.187.0 bis vor 1.120.3, CVE-2026-21893, CVSS4 9.4, Risiko „kritisch“
- Ausbruch aus Python-Sandbox in n8n vor 2.4.8, CVE-2026-25115, CVSS4 9.4, Risiko „kritisch“
- Schreiben beliebiger Dateien in n8n vor Version 1.118.0 und 2.4.0, CVE-2026-25056, CVSS4 9.4, Risiko „kritisch“
- Ausführen von Systembefehlen oder Lesen beliebiger Dateien in n8n vor 1.123.10 und 2.5.0, CVE-2026-25053, CVSS4 9.4, Risiko „kritisch“
- Unzureichende Datei-Zugriffskontrollen ermöglichen Manipulation von Workflows in n8n vor 1.123.18 und 2.5.0, CVE-2026-25052, CVSS4 9.4, Risiko „kritisch“
- Ausführen von Systembefehlen auf Host in n8n vor 1.123.17 und 2.5.2, CVE-2026-25049, CVSS4 9.4, Risiko „kritisch“
- Cross-Site-Scripting-Lücke in n8n vor 1.123.9 und 2.2.1, CVE-2026-25054, CVSS4 8.5, Risiko „hoch“
- Cross-Site-Scripting-Lücke in n8n vor 1.123.2, CVE-2026-25051, CVSS4 8.5, Risiko „hoch“
- Informationsleck bei Speicherallokation in n8n 1.65.0 bis vor 1.114.3, CVE-2025-61917, CVSS4 7.7, Risiko „hoch“
- Codeschmuggel aus dem Netz beim Verarbeiten hochgeladener Dateien in n8n vor 1.123.12 und 2.4.0, CVE-2026-25055, CVSS4 7.1, Risiko „hoch“
Einen erfolgreichen Angriff auf die Codeschmuggellücke CVE-2026-25049 demonstriert SecureLayer7 Cybersecurity auf Youtube. Bemerkenswert: Offenbar nutzen die Sicherheitsforscher eine Instanz in der vom Hersteller n8n GmbH betriebenen Cloud. Ob die Lücken im herstellereigenen Hosting-Angebot bereits geschlossen sind, ist unklar.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Zum Meldungszeitpunkt ist die stabile Version n8n 2.6.3 aktuell, aber auch die anderen Entwicklungszweige wie die Beta-Version 2.7.1 haben frische Updates erhalten. Wer die Software einsetzt, sollte auf diese Versionen aktualisieren. Das Projekt liefert sehr häufig Softwareaktualisierungen aus, so erschien etwa die Fehlerkorrektur auf n8n 2.4.8 am Donnerstag vergangener Woche, ebenso n8n Version 1.123.18.
Videos by heise
Anfang Januar wurden bereits kritische Sicherheitslücken in n8n bekannt. Dafür waren auch Proof-of-Concept-Exploits öffentlich verfügbar.
Link zur n8n-Securityseite bei Github ergänzt und den Versionswirrwarr aufgelöst: 2.6.x ist stable (“production use“), 2.7.x ist die aktuelle Beta.
Proof-of-Concept-Video ergänzt.
(dmk)
