Zwei kritische Schadcode-Lücken bedrohen Automatisierungsplattform n8n

Unternehmen, die unter anderem Geschäftsprozesse mit n8n automatisiert haben, sollten die Software zügig auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer Systeme über mehrere Wege attackieren.

Remote Code Execution

Wie aus dem Sicherheitsbereich der GitHub-Website des Tools hervorgeht, haben die Entwickler insgesamt sechs Sicherheitslücken geschlossen. Zwei davon gelten als „kritisch“ (CVE-2026-33696, CVE-2026-33660). Im ersten Fall kann nach einer Prototyp-Pollution-Attacke Schadcode auf Systeme gelangen und sie kompromittieren. Im zweiten Fall kann das ebenfalls möglich. Dieses Mal, weil AlaSQL sandbox bestimmte SQL-Anweisungen nicht ausreichend eingeschränkt.

Eine weitere Schwachstelle (CVE-2026-33663) ist mit dem Bedrohungsgrad „hoch“ eingestuft. Hier kann ein authentifizierter Angreifer unverschlüsselte Anmeldedaten abgreifen. Noch gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Das kann sich aber schnell ändern. Dementsprechend müssen Admins sicherstellen, dass die gepatchten Versionen 1.123.27, 2.13.3 oder 2.14.1 installiert sind.

In der jüngsten Vergangenheit haben die Entwickler zweimal pro Monat Sicherheitsupdates für n8n veröffentlicht.

(des)