In der Nacht zum Donnerstag wurden zehn neue Schwachstelleneinträge zum quelloffenen Workflow-Automatisierungstool n8n veröffentlicht. Die behandeln sechs als kritisches Risiko eingestufte Schwachstellen, die restlichen gelten immer noch als hochriskant.

Zehn Sicherheitslücken in n8n

Die Lücken betreffen teils jedoch ältere Fassungen von n8n – wer also die Software vor einiger Zeit installiert und sich noch nicht um Aktualisierungen geschert hat, sollte jetzt auf die aktuelle Fassung updaten. Eine Einzelbetrachtung der Schwachstellen würde den Rahmen der Meldung sprengen. Eine Auflistung der neuen CVE-Einträge nach Schweregrad sortiert bietet jedoch einen Überblick, Details finden sich auf der n8n-Sicherheitsseite:

• Befehlsschmuggel-Schwachstelle in n8n von 0.187.0 bis vor 1.120.3, CVE-2026-21893, CVSS4 9.4, Risiko „kritisch“
• Ausbruch aus Python-Sandbox in n8n vor 2.4.8, CVE-2026-25115, CVSS4 9.4, Risiko „kritisch“
• Schreiben beliebiger Dateien in n8n vor Version 1.118.0 und 2.4.0, CVE-2026-25056, CVSS4 9.4, Risiko „kritisch“
• Ausführen von Systembefehlen oder Lesen beliebiger Dateien in n8n vor 1.123.10 und 2.5.0, CVE-2026-25053, CVSS4 9.4, Risiko „kritisch“
• Unzureichende Datei-Zugriffskontrollen ermöglichen Manipulation von Workflows in n8n vor 1.123.18 und 2.5.0, CVE-2026-25052, CVSS4 9.4, Risiko „kritisch“
• Ausführen von Systembefehlen auf Host in n8n vor 1.123.17 und 2.5.2, CVE-2026-25049, CVSS4 9.4, Risiko „kritisch“
• Cross-Site-Scripting-Lücke in n8n vor 1.123.9 und 2.2.1, CVE-2026-25054, CVSS4 8.5, Risiko „hoch“
• Cross-Site-Scripting-Lücke in n8n vor 1.123.2, CVE-2026-25051, CVSS4 8.5, Risiko „hoch“
• Informationsleck bei Speicherallokation in n8n 1.65.0 bis vor 1.114.3, CVE-2025-61917, CVSS4 7.7, Risiko „hoch“
• Codeschmuggel aus dem Netz beim Verarbeiten hochgeladener Dateien in n8n vor 1.123.12 und 2.4.0, CVE-2026-25055, CVSS4 7.1, Risiko „hoch“

Zum Meldungszeitpunkt ist die stabile Version n8n 2.6.3 aktuell, aber auch die anderen Entwicklungszweige wie die Beta-Version 2.7.1 haben frische Updates erhalten. Wer die Software einsetzt, sollte auf diese Versionen aktualisieren. Das Projekt liefert sehr häufig Softwareaktualisierungen aus, so erschien etwa die Fehlerkorrektur auf n8n 2.4.8 am Donnerstag vergangener Woche, ebenso n8n Version 1.123.18.

Anfang Januar wurden bereits kritische Sicherheitslücken in n8n bekannt. Dafür waren auch Proof-of-Concept-Exploits öffentlich verfügbar.

(dmk)

Die native Version von Sysmon in Windows kommt. Microsoft hat Insider-Vorschau-Versionen von Windows veröffentlicht, in denen das Feature nun aktiviert werden kann.

In den aktuellen Windows-Insider-Vorschau-Versionen im Developer-Kanal (Build-Nummer 26300.7733, KB5074178) und im Beta-Kanal (Build 26220.7752, KB5074177) bringt das Betriebssystem Windows 11 die Sysmon-Funktion nativ zu Windows. „Mit der Sysmon-Funktion können Sie Systemereignisse erfassen, die bei der Erkennung von Bedrohungen helfen können, und Sie können benutzerdefinierte Konfigurationsdateien verwenden, um die Ereignisse zu filtern, die Sie überwachen möchten“, erklärt Microsoft in den Versionsankündigungen. „Die mitgeschnittenen Ereignisse werden in das Windows-Ereignisprotokoll geschrieben, sodass sie mit Sicherheitsanwendungen und einer Vielzahl von Anwendungsfällen verwendet werden können“, erörtern die Entwickler weiter.

Native Sysmon-Unterstützung aktivieren

Standardmäßig ist Sysmon deaktiviert und muss explizit angeschaltet werden. Das geht entweder über die „Einstellungen“ – „System“ – „Optionale Features“ und dort unter „Verwandte Einstellungen“ – „Mehr Windows-Funktionen“, was die Dialog-Box in altbekannter Optik mit dem Namen „Windows-Features aktivieren oder deaktivieren“ öffnet und dort dem Anhaken von „Sysmon“. In der Eingabeaufforderung oder in der PowerShell klappt das zudem durch den Aufruf von Dism /Online /Enable-Feature /FeatureName:Sysmon. Um die Installation abzuschließen, muss an PowerShell oder Eingabeaufforderung noch der Aufruf sysmon -i abgesetzt werden. Die Entwickler von Microsoft weisen explizit darauf hin, dass diejenigen, die Sysmon bereits von der Webseite geladen und installiert haben, diese Fassung zuvor deinstallieren müssen. Die Dokumentation ist jedoch noch nicht fertig, die „wird bald zu Windows hinzugefügt“.

Bei Sysmon („Systemmonitor“) handelt es sich um ein mächtiges Werkzeug, das bei der Diagnose von Problemen hilfreich ist. Sysmon protokolliert diverse Systemaktivitäten, etwa Prozesserstellung, das Laden von Treibern oder Bibliotheken sowie von Netzwerkverbindungen. „Auf diese Weise können Sie schädliche oder anomale Aktivitäten erkennen und verstehen, wie Angreifer und Schadsoftware in Ihrem Netzwerk agieren“, erklärt Microsoft auf der Sysmon-Webseite.

Die Windows-Vorschau-Version hat zudem noch Unterstützung für die Niederlande für den Sprachzugriff und minimale Fehlerkorrekturen für kleine Problemchen erhalten. Mark Russinovich, Entwickler von Sysmon und den anderen Sysinternals-Werkzeugen, hatte die Sysmon-Integration im vergangenen November bereits angekündigt.

(dmk)

Im Messenger Signal können Nutzer und Nutzerinnen ab sofort Nachrichten in Chats festpinnen. Die Dauer ist flexibel, der Platz dafür ist jedoch begrenzt, wie Signal mitteilt. „Die am häufigsten gestellten Fragen, Restaurant-Reservierungen oder Urlaubs-Reiserouten sind schon ganz oben im Kopf, nun können sie ganz oben auch im Chat sein“, rührt Signal die Werbetrommel für die Funktion „fixierte Nachrichten“.

Signal: Nachrichten fixieren

Die Funktion kommt mit den Signal-Versionen für Android (Version 7.71), iOS (Version 7.93) und Desktop (Version 7.87) auf die Geräte. „In den jüngsten Versionen von Signal, die derzeit verteilt werden, kannst du deine wichtigsten Nachrichten ganz oben in deinen persönlichen und Gruppen-Chats festpinnen“, erklären die Entwickler. Um eine Nachricht zu fixieren, muss man lange auf die Nachricht oder das Bild, die Umfrage oder Datei drücken und dadurch das Kontextmenü öffnen. Der neue Unterpunkt heißt auf Deutsch „Fixieren“ und hat als Symbol eine Stecknadel vorangestellt.

Sobald eine Nachricht fixiert ist, sehen auch andere Mitglieder des Chats diese Nachricht als angepinnt. Bis zu drei Nachrichten können in einem Chat fixiert sein. Gruppen-Admins können einstellen, wer die Erlaubnis zum festpinnen erhält.

Nutzer können wählen, ob eine Nachricht für 24 Stunden, 7 Tage, 30 Tage oder für immer angepinnt bleiben soll. Nach Ablauf des Zeitraums wird die Nachricht automatisch wieder losgelöst. Durch Antippen des Stecknadel-Symbols neben der fixierten Nachricht lässt sie sich ebenfalls lösen. Wenn bereits drei Nachrichten festgepinnt sind, wirft Signal die bereits am längsten festgepinnte Nachricht raus, um Platz für die neue Nachricht zu schaffen.

Nicht für alle sichtbar

Signal versichert, dass die gepinnte Nachricht nur dann sichtbar ist, wenn User diese bereits in ihrem Nachrichtenverlauf haben. Wer also erst nach Eintrudeln der fixierten Nachricht in einen Chat dazukommt oder die Originalnachricht gelöscht hat, bekommt die festgepinnte Nachricht nicht zu sehen. Getreu dieser Logik werden auch verschwindende Nachrichten aus der Fixierung gelöst, wenn ihr Timer ausläuft und die Nachricht aus dem Chat entfernt wird.

Mitte Dezember gerieten WhatsApp und Signal in die Medien, da es möglich war, anhand von Laufzeiten für Nachrichtenbestätigungen Informationen über Nutzer ausfindig zu machen. Dagegen helfen jedoch bestimmte Einstellungen.

(dmk)