Sandbox-Escape in n8n ermöglicht vollständige Systemübernahme

Authentifizierte Nutzer können bösartigen Code aus der JavaScript-Sandbox ausbrechen lassen – mit potenziell verheerenden Folgen für selbst gehostete Instanzen.

CVSS 4.0 9.4 CRITICAL  ·  CWE-94 Code Injection

In der Workflow-Automatisierungsplattform n8n wurde eine schwerwiegende Schwachstelle entdeckt, die es einem angemeldeten Nutzer erlaubt, die JavaScript-Sandbox des sogenannten Task Runners zu umgehen und beliebigen Code auf dem Host-System auszuführen. Die Lücke betrifft alle Installationen, bei denen Task Runner per N8N_RUNNERS_ENABLED=true aktiviert sind – das ist in neuen Versionen der Standardmodus.

Wer n8n im internen Runner-Modus betreibt (ebenfalls Standard), riskiert eine vollständige Kompromittierung des Servers. Im externen Runner-Modus ist der Schaden auf den Runner-Prozess begrenzt, andere parallel laufende Tasks können aber dennoch beeinflusst oder ausgespäht werden. Da in n8n häufig sensible Zugangsdaten für Drittdienste hinterlegt sind, ist das Schadenspotenzial erheblich.


Bin ich betroffen? Prüfe, welche n8n-Version läuft – das steht im Webinterface unter Settings → About oder via n8n --version in der Konsole. Verwundbar sind alle Versionen vor 1.123.22, vor 2.9.3 sowie 2.10.0 (fix in 2.10.1). Zusätzlich lässt sich in der Umgebungskonfiguration prüfen, ob N8N_RUNNERS_ENABLED=true gesetzt ist – ohne dieses Flag ist die Lücke nicht ausnutzbar.

Empfehlung

Sofortiges Update auf n8n 2.10.1, 2.9.3 oder 1.123.22 (je nach eingesetztem Branch). Ist ein Update kurzfristig nicht möglich, sollten Workflow-Berechtigungen strikt auf voll vertrauenswürdige Nutzer beschränkt und N8N_RUNNERS_MODE=external gesetzt werden. Diese Maßnahmen reduzieren das Risiko, beheben die Ursache aber nicht vollständig.

Die Schwachstelle setzt einen authentifizierten Zugang voraus – öffentlich zugängliche n8n-Instanzen oder solche mit vielen Nutzern sind besonders gefährdet. Für rein intern genutzte Einzelinstallationen mit einem einzelnen vertrauenswürdigen Admin ist das Risiko geringer, ein Update aber trotzdem dringend empfohlen.

Related Posts

Kritische 1-Click RCE-Schwachstelle in OpenClaw AI-Assistenten

Der populäre Open-Source AI-Assistent OpenClaw (ehemals Moltbot/ClawdBot), der bereits von über 100.000 Entwicklern für umfassende System- und Nachrichtenzugriffe genutzt wird, war durch eine verkettete Schwachstelle angreifbar. Sicherheitsforscher von depthfirst entdeckten eine Logiklücke, die zu 1-Click Remote Code Execution führte. Ein einfacher Besuch einer präparierten Webseite reichte aus, um das System vollständig zu kompromittieren.

Read More

Bundesdomain im Blindflug: DNS-Leaks legen jahrelange IT-Versäumnisse offen

Ein brisanter Sicherheitsvorfall zeigt massive Defizite im Domain- und Infrastrukturmanagement deutscher Bundesbehörden. Die ehemalige Behörden-Domain bafl.de, die über Jahre vom Bundesamt für Migration und Flüchtlinge (BAMF) genutzt wurde, konnte im August 2025 von der Mint Secure GmbH übernommen werden. Brisant dabei: Bis mindestens Dezember 2025 sendeten weiterhin interne Systeme von BAMF und Bundesinnenministerium (BMI) regelmäßig DNS-Anfragen an diese Domain.

Read More

Reprompt: One-Click-Angriff auf Microsoft Copilot erlaubte verdeckte Datenabflüsse

Varonis hat mit „Reprompt“ einen Angriff beschrieben, der in Microsoft Copilot Personal mit nur einem Klick auf einen legitimen Microsoft-Copilot-Link eine verdeckte Datenabfluss-Kette auslösen konnte. Die Methode nutzte unter anderem den URL-Parameter q, um Prompts beim Öffnen der Copilot-Webseite automatisch auszuführen – ohne dass Nutzer aktiv etwas in Copilot eingeben mussten.

Read More