jittawit21 – shutterstock.com
Forscher des Safety-Anbieters Cyera haben eine schwerwiegende Schwachstelle in der Workflow-Automatisierungsplattform n8n entdeckt. Sie ermöglicht es Angreifern, beliebigen Code auszuführen. Auf diese Weise könnten sie die vollständige Kontrolle über die betroffene Umgebung übernehmen, so die Experten.
Schwerwiegende Folgen
Laut Forschungsbericht sind davon 100.000 Server betroffen. Die Sicherheitslücke wird mit dem höchsten CVSS-Wert von 10,0 eingestuft und ist als CVE-2026-21858 gekennzeichnet. Die Safety-Spezialisten warnen, dass die Lücke large Auswirkungen hat.
Bei n8n handelt es sich um ein weitverbreitetes Open-Supply-Automatisierungs-Software. Es wird von vielen Unternehmen eingesetzt, um Chat-Apps, Formulare, Cloud-Speicher, Datenbanken und APIs von Drittanbietern miteinander zu verknüpfen. Wie auf der NPM-Datenbank zu sehen ist, kommt das dazugehörige Paket aktuell auf rund 60.000 Downloads professional Woche.
Auf vielen n8n-Systemen seien etwa Informationen zu finden, die Zugriffe auf unternehmensinterne Daten bei Google Drive, Salesforce oder Zahlungsdiensten ermöglichten, ebenso wie API-Keys, OAuth-Token, Kundendaten, CI/CD-Pipelines, erklären die Cyera-Forscher.
So funktioniert der Angriff
Den Sicherheitsexperten zufolge liegt die Ursache des Sicherheitsproblems darin, wie n8n Webhooks verarbeitet. Dabei werden Workflows gestartet, wenn Daten aus externen Systemen wie Webformularen, Messaging-Plattformen oder Benachrichtigungsdiensten eintreffen. Durch Ausnutzen eines sogenannten „Content material-Sort Confusion”-Fehlers können Angreifer HTTP-Header manipulieren und interne Variablen überschreiben, die von der Anwendung verwendet werden. Dies ermöglicht es, beliebige Dateien aus dem zugrunde liegenden System zu lesen und eine RCE-Attacke (Distant-Code-Execution) zu starten.
Die Forscher demonstrieren den Angriff, den sie als Ni8mare bezeichnen, am Beispiel einer Wissensdatenbank, die sich mit Datei-Uploads befüllen lässt. Demnach können Angreifer die Lücke nutzen, um Zugangsdaten hineinzukopieren und sich anschließend Admin-Zugriff verschaffen.
Nach eigenen Angaben hat Cyera die Entwickler von n8n bereits im November 2025 über die Schwachstelle informiert. Daraufhin wurde mit Model 1.121.0 ein Patch bereitgestellt.
