Wichtige Erkenntnisse
- Eine kritische, nicht authentifizierte Remote Code Execution (RCE)-Schwachstelle (CVE-2026-21858, CVSS 10.0) betrifft n8n, eine weit verbreitete Workflow-Automatisierungsplattform.
- Die Schwachstelle ermöglicht eine vollständige Kompromittierung lokal bereitgestellter n8n-Instanzen, einschließlich willkürlichem Dateizugriff, Umgehung der Authentifizierung und Befehlsausführung.
- Das Problem wurde von Cyera Research Labs entdeckt und verantwortungsvoll offengelegt, die es „Ni8mare“ nannten, wobei kurz darauf Patches veröffentlicht wurden.
- Organisationen, die betroffene n8n-Versionen betreiben, sollten umgehend ein Upgrade durchführen und die Exposition von Formularen und Webhooks überprüfen.
- Jüngste Offenlegungen verdeutlichen, dass Automatisierungsplattformen aufgrund ihres Zugriffs auf Anmeldeinformationen, APIs und interne Systeme Angriffsflächen mit hohem Risiko darstellen.
Zusätzlich zu CVE-2026-21858 hat n8n im gleichen Zeitraum weitere kritische Schwachstellen offengelegt, einschließlich Problemen, die willkürlichen Dateizugriff und authentifizierte Remote Code Execution betreffen. Obwohl sich die Ursachen unterscheiden, unterstreichen sie gemeinsam die Bedeutung zeitnaher Upgrades und der Minimierung der Exposition von Workflow-Einstiegspunkten.
TL;DR: So prüfen Sie, ob Sie betroffen sind
Sie könnten betroffen sein, wenn Sie eine selbst gehostete n8n-Instanz mit einer Version innerhalb der von n8n offengelegten betroffenen Bereiche betreiben, insbesondere Versionen vor 1.121.0, und in einigen Fällen vor 1.121.3 abhängig von Konfiguration und aktivierten Funktionen. Das Risiko ist am höchsten, wenn Formulare oder Webhooks öffentlich zugänglich sind.
Option 1: Aikido nutzen (Kostenlos)
Aikido hilft Teams, Folgendes zu identifizieren:
- n8n-Instanzen, die anfällige Versionen ausführen
- Internet-exponierte Formulare und Webhooks
- Workflow-Konfigurationen, die die Ausnutzbarkeit erheblich erhöhen
Diese Transparenz ist in der kostenlosen Version der Aikido-Plattform verfügbar.
Option 2: Manuelle Überprüfung
- Überprüfen Sie Ihre laufende n8n-Version
- Prüfen Sie, ob Formular-Nodes unauthentifizierte Eingaben akzeptieren
- Überprüfen Sie die Exposition von /form- und /webhook-Endpunkten
- Überprüfen Sie aktivierte Nodes, die Dateizugriff oder Befehlsausführung erlauben
Abhilfemaßnahmen
Organisationen, die betroffene Versionen betreiben, sollten:
- Führen Sie ein Upgrade von n8n auf Version 1.121.0 oder höher durch und gegebenenfalls auf 1.121.3
- Beschränken Sie die unnötige Internet-Exposition von n8n
- Verlangen Sie Authentifizierung für alle Formulare
- Rotieren Sie API-Schlüssel, OAuth-Tokens und Anmeldeinformationen, die in Workflows gespeichert sind
- Überprüfen Sie Workflow-Ausführungsprotokolle auf verdächtige Aktivitäten
- Begrenzen oder deaktivieren Sie den Execute Command-Node, es sei denn, er ist unbedingt erforderlich
Wer ist betroffen
Sie könnten betroffen sein, wenn:
- Sie eine lokal bereitgestellte n8n-Instanz betreiben
- Ihre Version in die von n8n offengelegten betroffenen Bereiche fällt
- Sie Form- oder Webhook-Nodes für nicht vertrauenswürdige Benutzer exponieren
Während einige kürzlich offengelegte n8n-Schwachstellen einen authentifizierten Benutzer erfordern, beinhalten die schwerwiegendsten Angriffswege nicht authentifizierten Zugriff auf öffentlich exponierte Formulare oder Webhooks. Diese Probleme betreffen hauptsächlich selbst gehostete Bereitstellungen und weniger verwaltete SaaS-Umgebungen.
Hintergrund
n8n wird häufig eingesetzt, um Workflows über Cloud-Dienste, interne Tools, KI-Systeme und Geschäftsprozesse hinweg zu orchestrieren.
Deshalb hat eine einzelne n8n-Instanz oft weitreichenden Zugriff auf interne Systeme, privilegierte Anmeldeinformationen und Tokens sowie die Möglichkeit, Aktionen über verschiedene Umgebungen hinweg auszulösen. Dies macht Automatisierungsplattformen zu einem hochinteressanten Ziel für Angreifer.
Worum geht es bei dem Angriff?
CVE-2026-21858 nutzt eine Content-Type-Verwechslungsschwachstelle in der Art und Weise aus, wie n8n eingehende HTTP-Anfragen an Form-Webhooks parst.
Im Überblick:
- Das Verhalten der Anforderungsanalyse hängt vom Content-Type-Header ab
- Bestimmte Dateiverarbeitungslogik geht von Multipart-Uploads aus
- Angreifer können interne Dateireferenzen mithilfe manipulierten JSONs überschreiben
Dies erlaubt Angreifern:
- Beliebige Dateien von der Festplatte lesen
- Secrets und Datenbanken extrahieren
- Authentifizierungssitzungen fälschen
- Beliebige Befehle ausführen
Erste Auswirkungen
Laut Forschung von Cyera:
- Schätzungsweise 100.000 Server könnten weltweit exponiert sein
- Organisationen aus verschiedenen Branchen sind betroffen
- Potenziell exponierte Assets umfassen:
- Cloud- und API-Anmeldeinformationen
- OAuth-Tokens
- CI/CD-Secrets
- Sensible Geschäftsdaten
- Cloud- und API-Anmeldeinformationen
Technischer Deep Dive
Wo die Schwachstelle lag
Die Schwachstelle liegt im Form Webhook Node, der Dateiuploads verarbeitet.
Im Gegensatz zu anderen Webhook-Handlern erzwingt dieser Pfad keine strikte Validierung von Multipart-Inhalten, geht davon aus, dass interne Datei-Objekte vertrauenswürdig sind, und kopiert vom Angreifer kontrollierte Dateipfade in den persistenten Speicher.
Was es bewirken könnte
Durch die Verkettung dieser Schwachstelle können Angreifer:
- Dateien wie /etc/passwd lesen
- Die lokale SQLite-Datenbank extrahieren
- Verschlüsselungsschlüssel wiederherstellen
- Gültige Admin-Sitzungen fälschen
- Beliebige OS-Befehle ausführen
Proof of Concept (High-Level)
Cyera demonstrierte eine vollständige Kompromittierungskette:
- Beliebiges Auslesen von Dateien über Formularübermittlung
- Extraktion von Anmeldeinformationen und Geheimnissen aus der Datenbank
- Sitzungsfälschung mittels wiederhergestellter Signaturmaterialien
- Vollständige Remote Code Execution
Warum diese Schwachstellen auftreten
Diese Probleme treten typischerweise auf, wenn:
- Benutzereingaben vertrauenswürdige interne Objekte beeinflussen
- Content-Type-Annahmen implizit statt erzwungen sind
- Plattformen hohe Privilegien und weitreichende Konnektivität ansammeln
- Sicherheitshärtung der Funktionserweiterung hinterherhinkt
FAQ: Kritische n8n-Schwachstellen erklärt
Ist dies dasselbe Problem wie andere aktuelle n8n-CVEs?
Nein. CVE-2026-21858 ist eine nicht authentifizierte Remote Code Execution-Schwachstelle im Zusammenhang mit der unsachgemäßen Verarbeitung von Webhook- und Formularanfragen.
Andere aktuelle n8n-Sicherheitshinweise beschreiben unterschiedliche Probleme, einschließlich authentifizierter Schwachstellen, die willkürlichen Dateizugriff oder Dateischreibvorgänge ermöglichen. Obwohl technisch unterschiedlich, bergen sie ähnliche Risiken, wenn Workflow-Einstiegspunkte weit zugänglich sind.
Betrifft dies n8n Cloud oder nur selbst gehostete Bereitstellungen?
Dieses Problem betrifft hauptsächlich selbst gehostete n8n-Instanzen.
Die schwerwiegendsten Angriffswege basieren auf dem Zugriff auf lokale Dateien und Secrets auf Instanzebene, die in verwalteten Umgebungen nicht auf die gleiche Weise offengelegt werden.
Erfordert die Ausnutzung eine Authentifizierung?
Nein. Für CVE-2026-21858 ist keine Authentifizierung erforderlich, wenn anfällige Endpunkte exponiert sind.
Nicht authentifizierte Angriffswege stellen generell ein höheres Risiko dar, da sie remote und im großen Maßstab ausgenutzt werden können.
Bin ich nach einem Upgrade vollständig geschützt?
Das Upgrade auf die gepatchten Versionen behebt die bekannten Schwachstellen. Die Sicherheit hängt jedoch auch von der Konfiguration ab.
Teams sollten Upgrades mit reduzierter Exposition, authentifizierten Formularen und einer sorgfältigen Überprüfung risikoreicher Workflow-Knoten kombinieren.
Warum werden Automatisierungsplattformen häufiger angegriffen?
Automatisierungsplattformen verbinden viele Systeme und verwalten privilegierte Zugangsdaten. Die Kompromittierung einer Plattform kann den Zugriff auf mehrere nachgeschaltete Systeme ermöglichen, was sie zu attraktiven Zielen für Angreifer macht.
Wie hilft Aikido bei solchen Problemen?
Aikido unterstützt Teams dabei:
- Anfällige Automatisierungsplattformen in realen Umgebungen erkennen
- Exponierte Formulare, Webhooks und risikoreiche Workflow-Einstiegspunkte identifizieren
- Probleme basierend auf realen Exploit-Pfaden priorisieren, nicht nur auf der CVE-Schwere.
- Schnell handeln mit klarer Anleitung zur Behebung
Fazit
Diese Schwachstelle verdeutlicht eine umfassendere Realität. Automatisierungsplattformen sind zu kritischer Infrastruktur geworden.
Ihre Absicherung erfordert zeitnahes Patchen, reduzierte Exposition und Transparenz darüber, wie Schwachstellen in realen Umgebungen tatsächlich ausgenutzt werden können.
Anhang
- CVE: CVE-2026-21858
- Betroffene Versionen: Versionen vor 1.121.0 und in einigen Fällen vor 1.121.3
- Angriffstyp: Nicht authentifizierte Remote Code Execution
- Komponenten: Form-Webhook, Dateiverwaltung, Session Management
Referenzen
- Cyera Research Labs: Unauthentifizierte Remote Code Execution in n8n
- GitHub Security Advisories
- Aikido Intel
<script type="application/ld+json">
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "Organization",
"@id": "https://www.aikido.dev/#organization",
"name": "Aikido Security"
"url": "https://www.aikido.dev/",
"logo": {
"@type": "ImageObject",
"@id": "https://www.aikido.dev/#logo",
"url": "https://cdn.prod.website-files.com/642adcaf364024552e71df01/642adcaf364024443a71df7a_logo-full-dark.svg"
},
"sameAs": [
"https://www.linkedin.com/company/aikido-security/",
"https://x.com/aikidosecurity",
"https://www.youtube.com/@aikidosecurity"
]
},
{
"@type": "WebSite",
"@id": "https://www.aikido.dev/#website",
"url": "https://www.aikido.dev/",
"name": "Aikido",
"publisher": {
"@id": "https://www.aikido.dev/#organization"
},
"inLanguage": "de"
},
{
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#webpage",
"url": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858",
"name": "n8n Kritische Schwachstelle (CVE-2026-21858) | Erläuterung der unauthentifizierten RCE",
"isPartOf": {
"@id": "https://www.aikido.dev/#website"
},
"inLanguage": "de",
"breadcrumb": {
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#breadcrumb"
}
},
{
"@type": "BreadcrumbList",
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#breadcrumb",
"itemListElement": [
{
"@type": "ListItem",
"position": 1,
"name": "Startseite",
"item": "https://www.aikido.dev/"
},
{
"@type": "ListItem",
"position": 2,
"name": "Blog",
"item": "https://www.aikido.dev/blog"
},
{
"@type": "ListItem",
"position": 3,
"name": "Schwachstellen & Bedrohungen",
"item": "https://www.aikido.dev/blog"
},
{
"@type": "ListItem",
"position": 4,
"name": "Kritische n8n-Schwachstelle ermöglicht nicht authentifizierte Remote Code Execution (CVE-2026-21858)",
"item": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858"
}
]
},
{
"@type": "Person",
"@id": "https://www.aikido.dev/team-members/sooraj-shah#person",
"name": "Sooraj Shah",
"url": "https://www.aikido.dev/team-members/sooraj-shah",
"jobTitle": "Leiter Content Marketing",
"worksFor": {
"@id": "https://www.aikido.dev/#organization"
},
"sameAs": [
"https://www.linkedin.com/in/soorajshah/"
],
"image": {
"@type": "ImageObject",
"url": "https://cdn.prod.website-files.com/642adcaf364024654c71df23/685041c2836d827b7f40d3ef_Sooraj-Shah.jpg"
}
},
{
"@type": "BlogPosting",
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#blogposting",
"mainEntityOfPage": {
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#webpage"
},
"headline": "Kritische n8n-Schwachstelle ermöglicht nicht authentifizierte Remote Code Execution (CVE-2026-21858)",
"description": "Eine kritische Schwachstelle in n8n (CVE-2026-21858) ermöglicht nicht authentifizierte Remote Code Execution auf selbst gehosteten Instanzen. Erfahren Sie, wer betroffen ist und wie Sie Abhilfe schaffen können.",
"datePublished": "2026-01-08",
"dateModified": "2026-01-08",
"author": {
"@id": "https://www.aikido.dev/team-members/sooraj-shah#person"
},
"publisher": {
"@id": "https://www.aikido.dev/#organization"
},
"image": {
"@type": "ImageObject",
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#primaryimage",
"url": "https://cdn.prod.website-files.com/642adcaf364024552e71df01/68d1233973be6f8e808d9e65_Frame%2017.svg"
},
"articleSection": "Schwachstellen & Bedrohungen",
"inLanguage": "de",
"keywords": [
"n8n",
"CVE-2026-21858",
"RCE",
"Remote Code Execution",
"Schwachstelle",
"nicht authentifizierte RCE",
"Sicherheit der Workflow-Automatisierung"
]
},
{
"@type": "FAQPage",
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#faq",
"mainEntity": [
{
"@type": "Question",
"name": "Ist dies dasselbe Problem wie andere aktuelle n8n CVEs?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Nein. CVE-2026-21858 ist eine nicht authentifizierte Remote Code Execution Schwachstelle im Zusammenhang mit der unsachgemäßen Handhabung von Webhook- und Formularanfragen. Andere aktuelle n8n-Sicherheitshinweise beschreiben unterschiedliche Probleme, einschließlich authentifizierter Schwachstellen, die den beliebigen Dateizugriff oder das Schreiben von Dateien betreffen. Obwohl technisch unterschiedlich, bergen sie ähnliche Risiken, wenn Workflow-Einstiegspunkte weit zugänglich sind."
}
},
{
"@type": "Question",
"name": "Betrifft dies n8n Cloud oder nur selbst gehostete Deployments?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Dieses Problem betrifft hauptsächlich selbst gehostete n8n-Instanzen. Die schwerwiegendsten Angriffswege basieren auf dem Zugriff auf lokale Dateien und instanzspezifische Secrets, die in verwalteten Umgebungen nicht auf die gleiche Weise offengelegt werden."
}
},
{
"@type": "Question",
"name": "Erfordert die Ausnutzung eine Authentifizierung?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Nein. Für CVE-2026-21858 ist keine Authentifizierung erforderlich, wenn anfällige Endpunkte offengelegt sind. Nicht authentifizierte Angriffswege bergen generell ein höheres Risiko, da sie remote und in großem Umfang ausgenutzt werden können."
}
},
{
"@type": "Question",
"name": "Bin ich nach einem Upgrade vollständig geschützt?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Ein Upgrade auf die gepatchten Versionen behebt die bekannten Schwachstellen. Die Sicherheit hängt jedoch auch von der Konfiguration ab. Teams sollten Upgrades mit einer reduzierten Exposition, authentifizierten Formularen und einer sorgfältigen Überprüfung risikoreicher Workflow-Knoten kombinieren."
}
},
{
"@type": "Question",
"name": "Warum werden Automatisierungsplattformen häufiger angegriffen?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Automatisierungsplattformen verbinden viele Systeme und verwalten privilegierte Zugangsdaten. Die Kompromittierung einer Plattform kann den Zugriff auf mehrere nachgeschaltete Systeme ermöglichen, was sie zu attraktiven Zielen für Angreifer macht."
}
},
{
"@type": "Question",
"name": "Wie hilft Aikido bei solchen Problemen?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Aikido hilft Teams, anfällige Automatisierungsplattformen in realen Umgebungen zu erkennen, offengelegte Formulare, Webhooks und riskante Workflow-Einstiegspunkte zu identifizieren, Probleme basierend auf realen Exploit-Pfaden (nicht nur der CVE-Schwere) zu priorisieren und schnell mit klarer Anleitung zur Behebung zu handeln."
}
}
]
}
]
}
</script>
