Rund 100.000 Server betroffen Hacker können n8n-Instanzen übernehmen
Anbieter zum Thema
Sicherheitsforscher haben eine kritische Schwachstelle in der Workflow-Automatisierungsplattform „n8n“ entdeckt. Wird die Sicherheitslücke ausgenutzt, können Angreifer selbst gehostete n8n-Instanzen über manipulierte Webhook-Requests übernehmen.
(Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)
Sicherheitsforscher von Cyera haben eine Sicherheitslücke in der Workflow-Automatisierungsplattform „n8n“ entdeckt, die den maximalen CVSS-Score von 10.0 erhalten hat. Angreifer, die die Schwachstelle EUVD-2026-1187 / CVE-2026-21858 (EPSS-Score 7.69) erfolgreich ausnutzen, sind in der Lage, lokal bereitgestellte Instanzen zu übernehmen. Cyera zufolge könnten schätzungsweise 100.000 Server davon betroffen sein. Workarounds gibt es keine, Nutzer müssen n8n auf die Version 1.121.0 oder höher aktualisieren.
:quality(80)/p7i.vogel.de/wcms/99/33/99332844f91f510eaedf1c857a567706/0128775218v2.jpeg "Bei erfolgreicher Ausnutzung der Schwachstelle EUVD-2025-205454 / CVE-2025-68668 können Cyberkriminelle aus der Sandbox von n8n-Projekten ausbrechen und Schadcode ausführen. (Bild: gemeinfrei)")
Fehlende Prüfung von Objekt-Typen
N8n gehört mittlerweile zu einer der führenden Plattformen für die Entwicklung automatisierter Workflows, die mit KI-Agenten arbeiten. Die Software, die größtenteils Open Source ist, hat über 100 Millionen Docker-Pulls, Millionen von Nutzer in Tausenden von Unternehmen und ist damit ein interessantes Ziel für Cyberkriminelle.
Die Ursache von EUVD-2026-1187 / CVE-2026-21858 liegt in einer Content-Type-Verwechslung bei der Verarbeitung von Webhook-Anfragen in n8n. Ein Webhook ist eine Methode, mit der ein System automatisch eine Nachricht an ein anderes System sendet, sobald ein Ereignis geschieht. Die Lösung erwartet, dass eingehende Requests mit Datei-Uploads im Format „multipart/form-data“ ankommen und greift auf ein Feld zu, in dem die hochgeladenen Dateien stehen, zum Beispiel „req.body.files“. Den Analysten von Cyera zufolge können Cyberangreifer eine Anfrage in einem anderen Format, etwa „JSON“, senden und darin ein künstliches Objekt mitliefern, das nur so aussieht, als käme es aus einem echten Datei-Upload. Da n8n den Content Typ nicht ausreichend prüfe, lasse sich die Anwendung dazu bringen, serverseitig unberechtigt auf Dateien zuzugreifen. Dadurch könnten Angreifer Secrets auslesen und sogar ganze Systeme übernehmen. Dies ist besonders gefährlich, weil n8n sich mit unzähligen Systemen wie Google Drive, OpenAI-API-Schlüsseln, Salesforce-Daten, IAM-Systemen, Zahlungssystemen, CI/CD-Pipelines verbinden kann.
Neben dem Update auf eine abgesicherte Version empfiehlt Cyera, n8n nur im absoluten Notfall mit dem Internet zu verbinden. Zudem sollten Nutzer sicherstellen, dass alle erstellten Formulare und Webhook-Endpunkte mit Authentifizierungs- und Zugriffskontrollen geschützt sind.
:quality(80)/p7i.vogel.de/wcms/9b/c3/9bc3650365043192ef4509df28ac6859/0129429761v1.jpeg "Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der entsprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.
(ID:50767037)
