n8n: Kritische Sicherheitslücken bedrohen Unternehmensdaten

Schwere Schwachstellen in der beliebte Workflow-Automatisierung n8n ermöglichen Angreifern die vollständige Übernahme von Servern. Forscher entdeckten zwei gravierende Sicherheitslücken, darunter eine kritische mit der höchsten Gefahrenstufe. Sie bedrohen Cloud- und selbst gehostete Installationen gleichermaßen.

Die kritischste Lücke, CVE-2026-1470, erhielt den nahezu maximalen CVSS-Score von 9,9. Sie ermöglicht es authentifizierten Nutzern, die Sicherheitskontrollen der JavaScript-Expression-Engine zu umgehen. Eigentlich soll eine Sandbox verhindern, dass nutzergesteuerter Code auf das Betriebssystem zugreift. Doch speziell präparierte Skripte können dieses Schutzgefängnis sprengen.

Die Folge: Vollständige Remote-Code-Ausführung mit den Berechtigungen des n8n-Dienstes selbst. Angreifer könnten so Credentials stehlen, Daten manipulieren und sich seitlich im Unternehmensnetzwerk bewegen. Ein Albtraum für jede IT-Sicherheitsabteilung.

N8N-Instanzen mit lückenhafter Härtung erlauben Angreifern bereits in wenigen Schritten, Workflows und verbundene Systeme zu kompromittieren. Das kostenlose E‑Book erklärt praxisorientiert, wie Sie Schwachstellen erkennen, Patches prüfen, Monitoring-Regeln anpassen und Automatisierungs-Services korrekt isolieren — Maßnahmen, die IT‑Teams sofort umsetzen können, auch ohne großes Budget. Jetzt kostenlosen Cyber‑Security‑Guide herunterladen

Zweite Angriffsfläche durch Python-Schwachstelle

Die zweite Lücke, CVE-2026-0863, ist mit 8,5 Punkten ebenfalls als hoch riskant eingestuft. Sie betrifft die Python-Ausführung im Code-Node. Auch hier gelingt es, die Sandbox-Einschränkungen zu umgehen und beliebige Befehle auf dem Server auszuführen.

Besonders gefährlich ist die Schwachstelle in Installationen, die den Python-Modus „Internal“ verwenden. Zwar rät die n8n-Dokumentation von diesem Modus in Produktivumgebungen ab – doch in der Praxis existieren solche Konfigurationen. Sie bieten Angreifern eine breite Angriffsfläche.

„Skelettschlüssel“ für das gesamte Unternehmen

Die Brisanz dieser Entdeckungen liegt in der zentralen Rolle von n8n. Die Plattform verbindet und steuert oft sensible Kernsysteme: von KI-APIs und CRM-Daten bis hin zu Identity-Management-Lösungen. Ein kompromittiertes n8n-Instanz wirkt wie ein Skelettschlüssel für die gesamte Unternehmens-IT.

Angreifer könnten nicht nur kritische Geschäftsinformationen abgreifen, sondern auch automatisierte Workflows lahmlegen. Die Entdeckung folgt nur Wochen auf „Ni8mare“, eine weitere Maximum-Severity-Lücke. Diese Häufung schwerer Sicherheitsprobleme stellt die Sicherheitsarchitektur von n8n grundlegend in Frage.

Dringende Updates sind Pflicht

n8n hat bereits Patches für beide Schwachstellen veröffentlicht. Administratoren müssen umgehend handeln:

• Für CVE-2026-1470 (JavaScript): Update auf Version 1.123.17, 2.4.5 oder 2.5.1.
• Für CVE-2026-0863 (Python): Update auf Version 1.123.14, 2.3.5 oder 2.4.2.

Zusätzlich zum Patch sollten Unternehmen ihre n8n-Konfiguration überprüfen. Code-Execution-Nodes gehören in isolierte Modi wie „External“. Denn mit der wachsenden Bedeutung von Automatisierung und KI-Workflows steigt auch der Wert solcher Plattformen – für Unternehmen und für Cyberkriminelle gleichermaßen.

PS: Nutzen Sie n8n oder ähnliche Automatisierungs‑Tools in Ihrer Infrastruktur? Dann sollten Sie jetzt sofort nachvollziehbare Checklisten und Härtungs‑Schritte parat haben. Der Gratis‑Guide fasst bewährte Maßnahmen zusammen — von Patch‑Verifikation über Netzwerksegmentierung bis zu Monitoring‑Regeln für verdächtige Code‑Ausführungen. Gratis‑E‑Book: Cyber‑Security Awareness herunterladen