n8n: Mehrere kritische RCE-Schwachstellen ermöglichen vollständige Systemübernahme

In der Workflow-Automatisierungsplattform n8n sind mehrere schwerwiegende Sicherheitslücken entdeckt worden, die es authentifizierten Angreifern erlauben, beliebigen Code auf dem Server auszuführen. Die Schwachstellen betreffen sowohl selbst gehostete n8n-Instanzen als auch n8n Cloud und werden insgesamt als kritisch eingestuft.

Besonders gravierend ist die Lücke CVE-2025-68613, die auf eine unsichere Expression-Auswertung zurückzuführen ist. Angreifer können manipulierte Ausdrücke in Workflow-Parametern einschleusen, die beim Ausführen eines Workflows ausgewertet werden. Trotz vorhandener AST-basierter Schutzmechanismen lassen sich diese umgehen, indem über this.process.mainModule.require() auf Node.js-Module wie child_process oder fs zugegriffen wird. Dadurch sind unter anderem das Ausführen von Systembefehlen, das Auslesen sensibler Dateien oder der Aufbau einer Reverse Shell möglich. Betroffen sind n8n-Versionen ab 0.211.0, behoben wurde das Problem mit Version 1.20.4.

Eine weitere kritische Schwachstelle (CVE-2025-68668) betrifft den Python Code Node, der auf Pyodide basiert. Hier kann die Sandbox umgangen werden, sodass authentifizierte Nutzer mit Workflow-Rechten ebenfalls beliebige Befehle auf dem Host-System ausführen können. Ab n8n 2.0.0 ist eine neue, auf Task Runnern basierende native Python-Ausführung standardmäßig aktiviert, die eine deutlich stärkere Isolation bietet. Ältere Versionen können durch Konfigurationsoptionen wie N8N_PYTHON_ENABLED=false oder das explizite Aktivieren der neuen Runner-Architektur abgesichert werden.

Zusätzlich wurde mit CVE-2026-21877 eine weitere authentifizierte RCE-Lücke gemeldet, die unter bestimmten Bedingungen über unsichere Dateischreibvorgänge ausgenutzt werden kann. Diese Schwachstelle betrifft Versionen von 0.123.0 bis 1.121.3 und ermöglicht ebenfalls eine vollständige Kompromittierung der Instanz. Der Fehler wurde in Version 1.121.3 behoben.

Administratoren wird dringend empfohlen, betroffene n8n-Instanzen zeitnah auf die jeweils gepatchten Versionen zu aktualisieren. Falls ein sofortiges Update nicht möglich ist, sollten zumindest risikoreiche Nodes wie der Code Node oder Git Node deaktiviert und der Zugriff für nicht vertrauenswürdige Benutzer stark eingeschchränkt werden.

Related Posts

PowerShell-Lücke ermöglicht Codeausführung über manipulierte Inhalte

Microsoft warnt vor einer neu entdeckten Sicherheitsanfälligkeit in PowerShell (CVE-2025-54100), die unter bestimmten Bedingungen zur Ausführung von Schadcode führen kann. Die Schwachstelle beruht auf einer unzureichenden Neutralisierung von Eingaben (CWE-77) und kann ausgenutzt werden, wenn Nutzer speziell präparierte Inhalte über PowerShell-Befehle wie Invoke-WebRequest verarbeiten.

Read More

Kritische Livewire-Lücke erlaubt Remote Code Execution in Laravel-Anwendungen

Sicherheitsforscher haben eine schwerwiegende Schwachstelle im Laravel-Framework Livewire offengelegt. Über einen fehleranfälligen Unmarshalling- und Hydration-Mechanismus konnten Angreifer beliebigen PHP-Code auf dem Server ausführen. Die Lücke wurde unter CVE-2025-54068 registriert und betrifft Livewire v3 in großem Umfang.

Read More

Schwere Token-Schwachstellen in Plex Media Server

Im Plex Media Server wurde die kritische Schwachstelle CVE-2025-34158 gefunden, die eine Privilegieneskalation innerhalb der Plattform erlaubte. Betroffen sind Versionen von 1.41.7 bis 1.42.0. Über den Endpunkt /myplex/account können authentifizierte Nicht-Besitzer das Admin-Zugriffstoken des Serverbesitzers auslesen und damit vollständige Kontrolle über geteilte Server sowie verbundene Plex-Instanzen erlangen. Die Lücke wurde im August 2025 mit Version 1.42.1 geschlossen.

Read More