Authentifizierte Nutzer können bösartigen Code aus der JavaScript-Sandbox ausbrechen lassen – mit potenziell verheerenden Folgen für selbst gehostete Instanzen.
CVSS 4.0 9.4 CRITICAL · CWE-94 Code Injection
In der Workflow-Automatisierungsplattform n8n wurde eine schwerwiegende Schwachstelle entdeckt, die es einem angemeldeten Nutzer erlaubt, die JavaScript-Sandbox des sogenannten Task Runners zu umgehen und beliebigen Code auf dem Host-System auszuführen. Die Lücke betrifft alle Installationen, bei denen Task Runner per N8N_RUNNERS_ENABLED=true aktiviert sind – das ist in neuen Versionen der Standardmodus.
Wer n8n im internen Runner-Modus betreibt (ebenfalls Standard), riskiert eine vollständige Kompromittierung des Servers. Im externen Runner-Modus ist der Schaden auf den Runner-Prozess begrenzt, andere parallel laufende Tasks können aber dennoch beeinflusst oder ausgespäht werden. Da in n8n häufig sensible Zugangsdaten für Drittdienste hinterlegt sind, ist das Schadenspotenzial erheblich.
Bin ich betroffen? Prüfe, welche n8n-Version läuft – das steht im Webinterface unter Settings → About oder via n8n --version in der Konsole. Verwundbar sind alle Versionen vor 1.123.22, vor 2.9.3 sowie 2.10.0 (fix in 2.10.1). Zusätzlich lässt sich in der Umgebungskonfiguration prüfen, ob N8N_RUNNERS_ENABLED=true gesetzt ist – ohne dieses Flag ist die Lücke nicht ausnutzbar.
Empfehlung
Sofortiges Update auf n8n 2.10.1, 2.9.3 oder 1.123.22 (je nach eingesetztem Branch). Ist ein Update kurzfristig nicht möglich, sollten Workflow-Berechtigungen strikt auf voll vertrauenswürdige Nutzer beschränkt und N8N_RUNNERS_MODE=external gesetzt werden. Diese Maßnahmen reduzieren das Risiko, beheben die Ursache aber nicht vollständig.
Die Schwachstelle setzt einen authentifizierten Zugang voraus – öffentlich zugängliche n8n-Instanzen oder solche mit vielen Nutzern sind besonders gefährdet. Für rein intern genutzte Einzelinstallationen mit einem einzelnen vertrauenswürdigen Admin ist das Risiko geringer, ein Update aber trotzdem dringend empfohlen.
