Kritische Sicherheitslücke in n8n ermöglicht nicht authentifizierte Remote-Codeausführung (CVE-2026-21858)

Wichtige Erkenntnisse

• Eine kritische, nicht authentifizierte Sicherheitslücke (CVE-2026-21858, CVSS 10.0) betrifft n8n, eine weit verbreitete Plattform zur Automatisierung von Arbeitsabläufen.
  
• Die Sicherheitslücke ermöglicht die vollständige Kompromittierung lokal bereitgestellter n8n-Instanzen, einschließlich willkürlichem Dateizugriff, Umgehung der Authentifizierung und Ausführung von Befehlen.
  
• Das Problem wurde von Cyera Research Labs entdeckt und verantwortungsbewusst offengelegt, die es „Ni8mare” nannten und kurz darauf Patches veröffentlichten.
  
• Organisationen, die betroffene n8n-Versionen verwenden, sollten umgehend ein Upgrade durchführen und die Exposition von Formularen und Webhooks überprüfen.
  
• Jüngste Enthüllungen zeigen, dass Automatisierungsplattformen aufgrund ihres Zugriffs auf Anmeldedaten, APIs und interne Systeme besonders anfällig für Angriffe sind.
  

Zusätzlich zu CVE-2026-21858 hat n8n im gleichen Zeitraum weitere kritische Schwachstellen offengelegt, darunter Probleme im Zusammenhang mit dem Zugriff auf beliebige Dateien und der Ausführung von authentifiziertem Remote-Code. Auch wenn die Ursachen unterschiedlich sind, unterstreichen sie doch gemeinsam die Bedeutung zeitnaher Upgrades und der Minimierung der Gefährdung von Workflow-Einstiegspunkten.

TL;DR: So überprüfen Sie, ob Sie betroffen sind

Sie sind möglicherweise betroffen, wenn Sie eine selbst gehostete n8n-Instanz auf einer Version innerhalb der von n8n bekannt gegebenen betroffenen Bereiche betreiben, insbesondere auf Versionen vor 1.121.0 und in einigen Fällen vor 1.121.3, je nach Konfiguration und aktivierten Funktionen. Das Risiko ist am höchsten, wenn Formulare oder Webhooks öffentlich zugänglich sind.

Option 1: Aikido verwenden Aikido kostenlos)

Aikido Teams dabei, Folgendes zu erkennen:

• n8n-Instanzen, auf denen anfällige Versionen ausgeführt werden
  
• Internet-exponierte Formulare und Webhooks
  
• Workflow-Konfigurationen, die die Ausnutzbarkeit sinnvoll erhöhen
  

Diese Sichtbarkeit ist in der kostenlosen Version der Aikido verfügbar .

Option 2: Manuelle Überprüfung

• Überprüfen Sie Ihre aktuelle n8n-Version.
  
• Überprüfen Sie, ob Formular-Knoten nicht authentifizierte Eingaben akzeptieren.
  
• Überprüfen Sie die Sichtbarkeit der Endpunkte /form und /webhook.
  
• Überprüfen Sie aktivierte Knoten, die Dateizugriff oder Befehlsausführung zulassen.
  

Abhilfemaßnahmen

Organisationen, die betroffene Versionen verwenden, sollten:

1. Aktualisieren Sie n8n auf Version 1.121.0 oder höher und gegebenenfalls auf 1.121.3.
   
2. Unnötige Internet-Exposition von n8n einschränken
   
3. Authentifizierung für alle Formulare erforderlich
   
4. API-Schlüssel, OAuth-Token und Anmeldedaten, die in Workflows gespeichert sind, rotieren
   
5. Überprüfen Sie die Protokolle zur Ausführung von Workflows auf verdächtige Aktivitäten.
   
6. Den Knoten „Befehl ausführen“ einschränken oder deaktivieren, sofern dies nicht unbedingt erforderlich ist.
   

Wer ist betroffen?

Sie könnten betroffen sein, wenn:

• Sie betreiben eine lokal bereitgestellte n8n-Instanz.
  
• Ihre Version fällt in die von n8n bekannt gegebenen betroffenen Bereiche.
  
• Sie legen Formular- oder Webhook-Knoten für nicht vertrauenswürdige Benutzer offen.
  

Während einige kürzlich bekannt gewordene n8n-Sicherheitslücken einen authentifizierten Benutzer erfordern, betreffen die schwerwiegendsten Angriffswege den nicht authentifizierten Zugriff auf öffentlich zugängliche Formulare oder Webhooks. Diese Probleme betreffen in erster Linie selbst gehostete Bereitstellungen und weniger verwaltete SaaS-Umgebungen.

Hintergrund

n8n wird häufig zur Koordinierung von Arbeitsabläufen über Cloud-Dienste, interne Tools, KI-Systeme und Geschäftsprozesse hinweg eingesetzt.

Aus diesem Grund hat eine einzelne n8n-Instanz oft umfassenden Zugriff auf interne Systeme, privilegierte Anmeldedaten und Tokens und kann Aktionen über verschiedene Umgebungen hinweg auslösen. Das macht Automatisierungsplattformen zu einem hochinteressanten Ziel für Angreifer.

Worum geht es bei dem Angriff?

CVE-2026-21858 nutzt eine Schwachstelle in der Art und Weise aus, wie n8n eingehende HTTP-Anfragen an Form Webhooks analysiert.

Auf hoher Ebene:

• Das Parsing-Verhalten von Anfragen hängt vom Content-Type-Header ab.
  
• Bestimmte Dateiverarbeitungslogiken gehen von mehrteiligen Uploads aus.
  
• Angreifer können interne Dateiverweise mithilfe von manipulierten JSON-Daten überschreiben.
  

Dadurch können Angreifer:

• Beliebige Dateien von der Festplatte lesen
  
• secrets Datenbanken extrahieren
  
• Forge-Authentifizierungssitzungen
  
• Beliebige Befehle ausführen
  

Anfängliche Auswirkungen

Laut einer Studie von Cyera:

• Weltweit könnten schätzungsweise 100.000 Server betroffen sein .
  
• Unternehmen aus verschiedenen Branchen sind davon betroffen.
  
• Zu den potenziell gefährdeten Vermögenswerten gehören:
  
  • Cloud API-Anmeldedaten
    
  • OAuth-Token
    
  • CI/CD secrets
    
  • Sensible Geschäftsdaten
    

Technischer Tiefgang

Wo die Schwachstelle lag

Der Fehler liegt im Form Webhook-Knoten, der Datei-Uploads verarbeitet.

Im Gegensatz zu anderen Webhook-Handlern erzwingt dieser Pfad keine strenge Validierung von Multipart-Inhalten, geht davon aus, dass interne Dateiobjekte vertrauenswürdig sind, und kopiert vom Angreifer kontrollierte Dateipfade in den persistenten Speicher.

Was es bewirken könnte

Durch Ausnutzen dieser Schwachstelle können Angreifer:

• Dateien wie /etc/passwd lesen
  
• Extrahieren Sie die lokale SQLite-Datenbank.
  
• Verschlüsselungsschlüssel wiederherstellen
  
• Gültige Admin-Sitzungen erstellen
  
• Beliebige Betriebssystembefehle ausführen
  

Proof of Concept (auf hoher Ebene)

Cyera demonstrierte eine vollständige Kompromittierungskette:

1. Beliebige Datei wird über Formularübermittlung gelesen
   
2. Abrufen von Anmeldedaten und geheimen Informationen aus der Datenbank
   
3. Sitzungsfälschung unter Verwendung wiederhergestellter Signaturmaterialien
   
4. Vollständige Remote-Codeausführung
   

Warum diese Schwachstellen auftreten

Diese Probleme treten in der Regel auf, wenn:

• Benutzereingaben beeinflussen vertrauenswürdige interne Objekte
  
• Annahmen zum Content-Type sind implizit und nicht zwingend vorgeschrieben.
  
• Plattformen sammeln hohe Privilegien und umfassende Konnektivität an.
  
• Die Verbesserung der Sicherheit hinkt der Erweiterung der Funktionen hinterher.
  

FAQ: Kritische Sicherheitslücken in n8n erklärt

Ist das dasselbe Problem wie bei anderen aktuellen n8n-CVEs?

Nein. CVE-2026-21858 ist eine nicht authentifizierte Sicherheitslücke, die die Ausführung von Remote-Code ermöglicht und mit der unsachgemäßen Verarbeitung von Webhook- und Formularanfragen zusammenhängt.

Andere aktuelle n8n-Sicherheitshinweise beschreiben verschiedene Probleme, darunter authentifizierte Schwachstellen, die den Zugriff auf beliebige Dateien oder das Schreiben von Dateien betreffen. Obwohl sie sich technisch unterscheiden, bergen sie ähnliche Risiken, wenn Workflow-Einstiegspunkte allgemein zugänglich sind.

Betrifft dies auch n8n Cloud nur selbst gehostete Bereitstellungen?

Dieses Problem betrifft in erster Linie selbst gehostete n8n-Instanzen.

Die schwerwiegendsten Angriffswege basieren auf dem Zugriff auf lokale Dateien und secrets auf Instanzebene, die in verwalteten Umgebungen nicht in gleicher Weise offengelegt werden.

Erfordert die Ausnutzung eine Authentifizierung?

Nein. Für CVE-2026-21858 ist keine Authentifizierung erforderlich, wenn anfällige Endpunkte offengelegt sind.

Nicht authentifizierte Angriffswege sind in der Regel mit einem höheren Risiko verbunden, da sie aus der Ferne und in großem Umfang ausgenutzt werden können.

Wenn ich ein Upgrade durchführe, bin ich dann vollständig geschützt?

Durch ein Upgrade auf die gepatchten Versionen werden die bekannten Sicherheitslücken behoben. Die Sicherheit hängt jedoch auch von der Konfiguration ab.

Teams sollten Upgrades mit reduzierter Exposition, authentifizierten Formularen und einer sorgfältigen Überprüfung von risikoreichen Workflow-Knoten kombinieren.

Warum werden Automatisierungsplattformen immer häufiger angegriffen?

Automatisierungsplattformen verbinden viele Systeme miteinander und verfügen über privilegierte Zugangsdaten. Die Kompromittierung einer Plattform kann den Zugriff auf mehrere nachgelagerte Systeme ermöglichen, was sie zu attraktiven Zielen für Angreifer macht.

Wie Aikido bei solchen Problemen?

Aikido Teams:

• Erkennen Sie anfällige Automatisierungsplattformen in realen Umgebungen.
  
• Identifizieren Sie exponierte Formulare, Webhooks und riskante Workflow-Einstiegspunkte.
  
• Priorisieren Sie Probleme anhand realer Exploit-Pfade und nicht nur anhand der CVE-Schwere.
  
• Handeln Sie schnell mit klaren Sanierungsrichtlinien
  

Fazit

Diese Schwachstelle verdeutlicht eine umfassendere Realität. Automatisierungsplattformen sind zu einer kritischen Infrastruktur geworden.

Um sie zu sichern, sind zeitnahe Patches, eine Reduzierung der Angriffsfläche und Einblicke in die tatsächliche Ausnutzung von Schwachstellen in realen Umgebungen erforderlich.

Anhang

• CVE: CVE-2026-21858
  
• Betroffene Versionen: Versionen vor 1.121.0 und in einigen Fällen vor 1.121.3
  
• Angriffstyp: Nicht authentifizierte Remote-Codeausführung
  
• Komponenten: Formular-Webhook, Dateiverwaltung, Sitzungsmanagement
  

Referenzen

• Cyera Research Labs: Nicht authentifizierte Remote-Codeausführung in n8n
  
• GitHub-Sicherheitshinweise
  
• Aikido

​