Kritische Sicherheitslücke: Unzählige n8n-Instanzen sind angreifbar
In der beliebten Workflow-Automatisierungsplattform n8n wurden mal wieder mehrere teils kritische Sicherheitslücken geschlossen. Eine davon sticht besonders hervor und ermöglicht es Angreifern, anfällige n8n-Instanzen vollständig zu übernehmen und vertrauliche Daten abzugreifen. Sicherheitsforschern von Pillar zufolge war es damit sogar möglich, in die Instanzen aller n8n-Cloud-Nutzer einzudringen.
Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) trägt die Lücke die CVE-Kennung CVE-2026-25049(öffnet im neuen Fenster) . Ausnutzen lässt sie sich von authentifizierten Nutzern, die Workflows erstellen oder ändern dürfen. Hat der Angriff Erfolg, so hat der Angreifer anschließend Vollzugriff auf die jeweilige Instanz und kann unter anderem dort gespeicherte Zugangsdaten, API-Keys, OAuth-Token und andere Geheimnisse abgreifen.
Sicherheitsforscher von Cyera warnten schon im Januar vor den Folgen solcher Attacken . "Eine kompromittierte n8n-Instanz bedeutet nicht nur den Verlust eines Systems – sie bedeutet, dass Angreifern der Schlüssel zu allem in die Hände fällt" , erklärten sie damals. Ursache dafür ist, dass auf n8n-Instanzen oft allerhand Anmeldedaten hinterlegt sind, damit die Software zum Zwecke der Automatisierung mit verschiedenen Diensten interagieren kann.
Auch die n8n-Cloud war wohl gefährdet
Angreifer können mit CVE-2026-25049 Systembefehle auf dem jeweiligen Hostsystem ausführen, indem sie in Workflow-Parametern speziell gestaltete Ausdrücke einbetten. Die Pillar-Forscher heben in ihrem Bericht die Folgen ihrer Entdeckung für die n8n-Cloud hervor. Aufgrund der Multi-Tenant-Architektur konnte dort "ein einzelner böswilliger Benutzer potenziell die gesamte Plattform kompromittieren und auf Daten aller anderen Kunden zugreifen" , heißt es.
Administratoren, die selbst gehostete n8n-Instanzen vor einer Ausnutzung von CVE-2026-25049 schützen wollen, sollten zeitnah auf Version 1.123.17 oder 2.5.2 aktualisieren. Frühere Versionen gelten als anfällig. Wer noch nicht updaten kann, findet im zugehörigen Security Advisory auf Github(öffnet im neuen Fenster) mögliche Workarounds. n8n zügig zu aktualisieren lohnt sich aber auch aufgrund anderer Lücken(öffnet im neuen Fenster) , die zuletzt gepatcht wurden.
Sicherheitsforscher von Securelayer7(öffnet im neuen Fenster) und Endorlabs(öffnet im neuen Fenster) veröffentlichten ebenfalls Berichte zu CVE-2026-25049. Hinweise auf eine aktive Ausnutzung durch böswillige Akteure scheint es bisher nicht zu geben. Da technische Details zu der Lücke aber nun öffentlich verfügbar sind, dürfte es nur eine Frage der Zeit sein, bis Angreifer davon Gebrauch machen.