Datenschutz & Sicherheit

Automatisierungstool n8n: Aufräumen von Sicherheitslücken


In der Nacht zum Donnerstag wurden zehn neue Schwachstelleneinträge zum quelloffenen Workflow-Automatisierungstool n8n veröffentlicht. Die behandeln sechs als kritisches Risiko eingestufte Schwachstellen, die restlichen gelten immer noch als hochriskant.

Weiterlesen nach der Anzeige

Zehn Sicherheitslücken in n8n

Die Lücken betreffen teils jedoch ältere Fassungen von n8n – wer also die Software vor einiger Zeit installiert und sich noch nicht um Aktualisierungen geschert hat, sollte jetzt auf die aktuelle Fassung updaten. Eine Einzelbetrachtung der Schwachstellen würde den Rahmen der Meldung sprengen. Eine Auflistung der neuen CVE-Einträge nach Schweregrad sortiert bietet jedoch einen Überblick, Details finden sich auf der n8n-Sicherheitsseite:

  • Befehlsschmuggel-Schwachstelle in n8n von 0.187.0 bis vor 1.120.3, CVE-2026-21893, CVSS4 9.4, Risiko „kritisch
  • Ausbruch aus Python-Sandbox in n8n vor 2.4.8, CVE-2026-25115, CVSS4 9.4, Risiko „kritisch
  • Schreiben beliebiger Dateien in n8n vor Version 1.118.0 und 2.4.0, CVE-2026-25056, CVSS4 9.4, Risiko „kritisch
  • Ausführen von Systembefehlen oder Lesen beliebiger Dateien in n8n vor 1.123.10 und 2.5.0, CVE-2026-25053, CVSS4 9.4, Risiko „kritisch
  • Unzureichende Datei-Zugriffskontrollen ermöglichen Manipulation von Workflows in n8n vor 1.123.18 und 2.5.0, CVE-2026-25052, CVSS4 9.4, Risiko „kritisch
  • Ausführen von Systembefehlen auf Host in n8n vor 1.123.17 und 2.5.2, CVE-2026-25049, CVSS4 9.4, Risiko „kritisch
  • Cross-Site-Scripting-Lücke in n8n vor 1.123.9 und 2.2.1, CVE-2026-25054, CVSS4 8.5, Risiko „hoch
  • Cross-Site-Scripting-Lücke in n8n vor 1.123.2, CVE-2026-25051, CVSS4 8.5, Risiko „hoch
  • Informationsleck bei Speicherallokation in n8n 1.65.0 bis vor 1.114.3, CVE-2025-61917, CVSS4 7.7, Risiko „hoch
  • Codeschmuggel aus dem Netz beim Verarbeiten hochgeladener Dateien in n8n vor 1.123.12 und 2.4.0, CVE-2026-25055, CVSS4 7.1, Risiko „hoch

Zum Meldungszeitpunkt ist die stabile Version n8n 2.6.3 aktuell, aber auch die anderen Entwicklungszweige wie die Beta-Version 2.7.1 haben frische Updates erhalten. Wer die Software einsetzt, sollte auf diese Versionen aktualisieren. Das Projekt liefert sehr häufig Softwareaktualisierungen aus, so erschien etwa die Fehlerkorrektur auf n8n 2.4.8 am Donnerstag vergangener Woche, ebenso n8n Version 1.123.18.

Anfang Januar wurden bereits kritische Sicherheitslücken in n8n bekannt. Dafür waren auch Proof-of-Concept-Exploits öffentlich verfügbar.


Update

05.02.2026,

08:55

Uhr

Link zur n8n-Securityseite bei Github ergänzt und den Versionswirrwarr aufgelöst: 2.6.x ist stable (“production use“), 2.7.x ist die aktuelle Beta.


(dmk)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen