Forscher warnen: Kritische n8n-Lücke betrifft über 17.000 deutsche Server
In einer Komponente der Workflow-Automatisierungsplattform n8n klafft eine gefährliche Sicherheitslücke, die es Angreifern ermöglicht, eigenen Code einzuschleusen und anfällige Instanzen vollständig zu kompromittieren. Scans der Sicherheitsforscher von Censys zufolge sind weltweit mehr als 100.000 n8n-Instanzen potenziell angreifbar, davon ein großer Teil aus Deutschland.
Bei der besagten Sicherheitslücke handelt es sich um CVE-2025-68613(öffnet im neuen Fenster) . Der CVSS-Wert liegt bei 9,9 und erreicht damit fast das obere Ende der Skala, der Schweregrad ist damit kritisch. Wie die n8n-Entwickler in einem Security Advisory auf Github(öffnet im neuen Fenster) schreiben, liegt die Ursache in einem System zur Ausführung von Workflow-Ausdrücken.
"Unter bestimmten Bedingungen können Ausdrücke, die von authentifizierten Benutzern während der Workflow-Konfiguration bereitgestellt werden, in einem Ausführungskontext ausgewertet werden, der nicht ausreichend von der zugrunde liegenden Laufzeit isoliert ist" , heißt es in der Meldung. Dies lasse sich ausnutzen, um auf anfälligen Systemen beliebigen Code mit den Berechtigungen des n8n-Prozesses auszuführen.
Deutschland am zweithäufigsten Betroffen
Eine mögliche Folge ist nach Angaben der Entwickler die vollständige Kompromittierung betroffener n8n-Instanzen. Damit sollen auch unbefugte Zugriffe auf vertrauliche Daten, Änderungen an Workflows sowie die Ausführung von Operationen auf Systemebene möglich sein. Als anfällig gelten n8n-Versionen ab 0.211.0. Patches stehen mit den Versionen 1.120.4, 1.121.1 und 1.122.0 bereit.
Die Daten von Censys(öffnet im neuen Fenster) zeigen, dass weltweit 103.963 potenziell anfällige n8n-Instanzen über das Netz erreichbar sind. Mit 28.463 stammen die meisten davon aus den USA. Deutschland erreicht mit 17.546 Instanzen den zweiten Platz, gefolgt von Frankreich (10.058), Brasilien (4.847), Singapur (4.590), Indien (3.920) und den Niederlanden (3.237).
Administratoren sollten ihre n8n-Instanzen zügig patchen, um sich vor möglichen Angriffen zu schützen. Es gibt zwar noch keine Hinweise auf eine aktive Ausnutzung von CVE-2025-68613, ein Proof-of-Concept-Exploit ist aber schon öffentlich verfügbar(öffnet im neuen Fenster) , so dass entsprechende Attacken nur noch eine Frage der Zeit sein dürften.
Ist eine Aktualisierung aktuell nicht möglich, so sind in der Meldung der n8n-Entwickler(öffnet im neuen Fenster) mögliche Workarounds zu finden, mit denen sich die Angriffsfläche zumindest verringern lässt. Die Entwickler betonen aber, dass diese Maßnahmen das Problem nicht gänzlich beseitigen. An den Patches führt also auf Dauer kein Weg vorbei.