heise PlusAbo
Anzeige
Alert!

n8n: Angriffe auf Sicherheitslücke in Automatisierungstool beobachtet

Auf eine Schwachstelle im Automatisierungstool n8n laufen aktuell Angriffe. Updates stehen seit Januar bereit.

vorlesen Druckansicht

(Bild: Skorzewiak/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Auf die KI-gestützte Automatisierungssoftware n8n laufen derzeit Angriffe. Bösartige Akteure missbrauchen dabei eine seit Januar bekannte Sicherheitslücke in dem Prozessautomatisierungstool.

Davor warnt die US-amerikanische IT-Sicherheitsbehörde CISA aktuell. Sie hat die Schwachstelle CVE-2025-68613 in den „Known Exploited Vulnerabilities“-Katalog aufgenommen. Die wurde Anfang des Jahres bekannt, sie lässt sich insbesondere mit weiteren Schwachstellen verknüpfen und ermöglicht dann das Ausführen von beliebigen Systemkommandos. Der CVSS-Wert 8.8 weist das Risiko zwar lediglich als „hoch“ aus, jedoch zeigte bereits dort ein Proof-of-Concept-Exploit (PoC) die Verknüpfung mit der „Ni8mare“ getauften Sicherheitslücke CVE-2026-21858 (CVSS 10, Risiko „kritisch“).

Wie üblich nennt die CISA keine weiteren Details zu den beobachteten Angriffen. Der Umfang bleibt unklar, ebenso, wie die konkreten Attacken aussehen. Es fehlen daher auch Hinweise, an denen sich erfolgreiche Angriffe erkennen ließen (Indicators of Compromise, IOC).

n8n: Zahlreiche verwundbare Systeme im Netz

Allerdings finden sich offenbar zahlreiche, nicht ausreichend abgesicherte n8n-Systeme im Internet. Die Shadowserver Foundation hat zwischen Ende Dezember 2025 und Anfang Februar 2026 etwa vermessen, wie viele Systeme für „Ni8mare“ anfällig sind. Anfang Februar waren das global noch 24.607 Systeme, von denen 7878 in Europa standen. Ende Februar wurden weitere Schwachstellen in n8n entdeckt, darunter drei als kritisches Risiko eingestufte. Zu einer davon, CVE-2026-27493 (CVSS4 9.5, Risiko „kritisch“), hat Pillar Security eine detaillierte Analyse vorgelegt. Demnach haben sie mehr als 50.000 potenziell verwundbare Endpunkte im Netz gefunden – für eine Zero-Click-Schwachstelle, die Codeschmuggel erlaubt. Laut der Analyse nutzen mehr als 230.000 Organisationen n8n, die Docker-Container wurden mehr als 100 Millionen Mal gezogen.

Videos by heise

IT-Verantwortliche, die n8n-Instanzen in ihrer Organisation einsetzen, sollten daher sicherstellen, dass sie die fehlerkorrigierten Versionen (2.10.1, 2.9.3 und 1.123.22 respektive die aktuellen, noch neueren Fassungen) einsetzen. Außerdem sollte das Tool nicht aus dem Internet zugreifbar sein. Eine weitere Zugriffsbeschränkung im lokalen Netz auf die Rechner der damit arbeitenden Mitarbeiter und Systeme scheint ebenfalls eine sinnvolle Maßnahme zu sein.

(dmk)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten