Die Open-Source-Plattform n8n steht aktuell im Fokus der IT-Sicherheit: Innerhalb weniger Wochen wurden Details zu vier kritischen Schwachstellen veröffentlicht, darunter zwei mit der Maximalbewertung CVSS 10,0. Besonders brisant ist die Sicherheitslücke Ni8mare (CVE-2026-21858), die eine vollstaendige Uebernahme einer n8n-Instanz ohne Authentifizierung ermöglichen kann.
Warum n8n zur kritischen Angriffsflaeche fuer Unternehmen wird
n8n ist eine no-code/low-code-Plattform zur Workflow-Automatisierung, die Anwendungen, APIs und Cloud-Dienste über einen visuellen Editor verbindet. Besonders im Bereich KI-Orchestrierung ist das Tool verbreitet: Unternehmen steuern damit LLMs, betreiben KI-Agenten und bauen RAG-Pipelines. Laut Oekosystemstatistiken verzeichnet n8n über 50.000 woechentliche Downloads via npm und mehr als 100 Millionen Downloads auf Docker Hub – ein attraktives Ziel für Angreifer.
Der sicherheitskritische Aspekt: In n8n werden haeufig zentrale Infrastruktur-Geheimnisse gespeichert – etwa API-Schluessel, OAuth-Token, Datenbank-Credentials, Cloud-Zugangs- und CI/CD-Secrets. Sicherheitsforscher von Cyera weisen darauf hin, dass die Kompromittierung einer einzelnen n8n-Instanz faktisch einer Uebergabe der „Schluessel zur gesamten Umgebung“ an den Angreifer gleichkommen kann.
Ni8mare (CVE-2026-21858): Content-Type-Verwirrung fuehrt zur Komplettuebernahme
Die Schwachstelle Ni8mare (CVSS: 10,0) ermoeglicht es einem nicht authentifizierten Angreifer, Dateien auf dem Server auszulesen und in bestimmten Szenarien beliebigen Code auszuführen (Remote Code Execution, RCE). Ausgelöst wird der Fehler über speziell gestaltete Formular-Workflows und eine sogenannte Content-Type Confusion bei der Verarbeitung von Webhook-Anfragen.
n8n nutzt unterschiedliche Parser für eingehende Requests: Bei multipart/form-data werden hochgeladene Dateien in temporaere Verzeichnisse mit Schutz vor Path Traversal abgelegt. Bei anderen Typen wie application/json greift ein Standardparser ohne diesen Schutz. Forscher konnten zeigen, dass ein Angreifer mit Content-Type: application/json, aber file-aehnlichen Feldern die volle Kontrolle über req.body.files erlangt. Dadurch lassen sich unter anderem Dateipfade manipulieren, sodass anstelle hochgeladener Dateien beliebige lokale Dateien gelesen werden können – von Konfigurationen und Logs bis hin zu Datenbanken und Schluesselmaterial.
Diese Informationen können anschliessend genutzt werden, um Cookies zu faelschen, Authentifizierung zu umgehen und sich schrittweise bis zur RCE zu eskalieren. Laut Hersteller betrifft die Schwachstelle alle n8n-Builds bis einschliesslich Version 1.65.0 und wurde in Version 1.121.0 (18. November 2025) behoben. Es gibt kein Workaround, der die Luecke vollstaendig schliesst; empfohlen wird, oeffentliche Webhook- und Form-Endpunkte einzuschraenken oder temporaer zu deaktivieren, bis die Aktualisierung eingespielt ist.
Weitere kritische n8n-Schwachstellen: Dateiupload, Sandbox-Escape und RCE
CVE-2026-21877: Unsicherer Dateiupload und Remote Code Execution
Die Schwachstelle CVE-2026-21877 (CVSS: 10,0) betrifft die unsichere Verarbeitung von Dateiuploads. Unter bestimmten Bedingungen kann ein authentifizierter Benutzer über n8n schadhaften Code hochladen und ausführen, was zur vollstaendigen Kompromittierung der Instanz führt. Betroffen sind Versionen ab 0.123.0 bis 1.121.3 (exklusive 1.121.3). Die Behebung erfolgte in Version 1.121.3. Bis zum Update sollten Administratoren insbesondere die Git-Node deaktivieren und den Zugriff für nicht vertrauenswürdige Nutzer in Multi-Tenant- und SaaS-Umgebungen einschraenken.
N8scape (CVE-2025-68668): Ausbruch aus der Python-Pyodide-Sandbox
Die Schwachstelle N8scape (CVE-2025-68668, CVSS: 9,9) betrifft die Python Code Node, die auf Pyodide in einer Sandbox basiert. Authentifizierte Anwender mit Berechtigung zum Erstellen oder Aendern von Workflows können die Isolationsmechanismen umgehen und Kommandos auf dem Host-System mit den Rechten des n8n-Prozesses ausfuehren. Betroffen sind Versionen 1.0.0 bis 2.0.0 (exklusive 2.0.0). Mit Version 2.0.0 wurde standardmaessig eine native Python-Implementierung auf Basis eines Task Runners aktiviert, die bereits seit 1.111.0 optional verfügbar war und die Isolation deutlich verbessert.
CVE-2025-68613: Unzureichende Kontrolle dynamischen Codes (RCE)
Eine weitere kritische n8n-Sicherheitslücke ist CVE-2025-68613 (CVSS: 9,9), klassifiziert als improper control of dynamically-managed code resources. In bestimmten Konfigurationen können authentifizierte Nutzer Remote Code Execution erreichen. Fixes stehen in den Versionen 1.120.4, 1.121.1 und 1.122.0 zur Verfügung. Nach Analysen von Censys waren Ende Dezember 2025 über 100.000 potenziell verwundbare Installationen im Netz sichtbar.
Angriffsoberflaeche im Internet und Auswirkungen auf DevOps- und KI-Infrastrukturen
Scans von Censys zeigen mehr als 26.000 öffentlich erreichbare n8n-Hosts. Die meisten stehen in den USA (7079), gefolgt von Deutschland (4280), Frankreich (2655), Brasilien (1347) und Singapur (1129). Die tatsaechliche Zahl, inklusive hinter VPN, Reverse-Proxy oder Firewalls betriebener Instanzen, duerfte deutlich hoeher sein.
Da n8n haeufig als Integrationsdrehscheibe zwischen internen und Cloud-Systemen fungiert, wird eine kompromittierte Instanz schnell zum Einstiegspunkt für weitergehende Angriffe auf DevOps-, Daten- und KI-Infrastrukturen. Potenziell betroffen sind Datenbanken, Message Queues, Source-Code-Repositories, Secrets-Manager und komplette CI/CD-Pipelines.
Empfohlene Sicherheitsmassnahmen fuer n8n-Instanzen
Administratoren und DevOps-Teams sollten n8n zeitnah auf aktuelle, abgesicherte Versionen bringen: mindestens 1.121.3 zum Schliessen von Ni8mare und CVE-2026-21877 sowie 2.0.0 zur Behebung von N8scape. Zusaetzlich ist sicherzustellen, dass die Patches für CVE-2025-68613 (1.120.4, 1.121.1 oder 1.122.0) installiert sind.
Als Hardsening-Massnahmen empfiehlt sich, n8n nicht direkt aus dem Internet erreichbar zu machen, sondern hinter VPN, Reverse-Proxy oder Zero-Trust-Gateways zu betreiben. Authentifizierung sollte fuer alle Forms und Webhooks verpflichtend sein. Rollen und Berechtigungen sind strikt nach dem Least-Privilege-Prinzip zu vergeben, und in n8n gespeicherte Secrets sollten regelmaessig überprueft und bei Verdacht auf Kompromittierung unmittelbar rotiert werden.
Angesichts der zentralen Rolle von Automatisierungs- und KI-Orchestrierungsplattformen sollten Organisationen n8n und vergleichbare Systeme als kritische Infrastrukturkomponenten einstufen. Regelmaessige Konfigurations-Audits, Penetrationstests, Monitoring auffaelliger Workflow-Aktivitaeten und eine zentrale Verwaltung von Secrets reduzieren das Risiko erheblich, dass eine künftige Angriffskampagne ihren Ausgangspunkt in der Kompromittierung der Automatisierungsplattform findet. Wer diese Systeme konsequent haertet und aktuell haelt, senkt nicht nur das RCE-Risiko, sondern schuetzt zugleich die gesamte digitale Wertschoepfungskette.
