Bei CVE-2025-68613 handelt es sich um eine Schwachstelle zur Remote-Code-Ausführung. Nach Angaben der CISA enthält n8n eine fehlerhafte Kontrolle dynamisch verwalteter Code-Ressourcen im System zur Auswertung von Workflow-Ausdrücken, die eine Remote-Code-Ausführung ermöglicht. Authentifizierte Angreifer können dadurch beliebigen Code mit den Rechten des n8n-Prozesses ausführen.
Das n8n-Team warnt, eine erfolgreiche Ausnutzung könne zur vollständigen Kompromittierung der betroffenen Instanz führen – einschließlich unbefugtem Zugriff auf sensible Daten, der Veränderung von Workflows und der Ausführung von Operationen auf Systemebene.
Behoben wurde die Lücke laut Quelltext im Dezember mit der Veröffentlichung von n8n v1.122.0. Das Entwicklerteam rät IT-Administratoren, den Patch umgehend einzuspielen. Wer nicht sofort aktualisieren kann, soll als vorübergehende Gegenmaßnahme die Berechtigungen zum Erstellen und Bearbeiten von Workflows auf vollständig vertrauenswürdige Nutzer beschränken sowie Betriebssystemrechte und Netzwerkzugriff einschränken.
Der Sicherheitsdienst Shadowserver verfolgt nach eigenen Angaben mehr als 40.000 ungepatchte, online erreichbare Instanzen. Davon entfallen über 18.000 IP-Adressen auf Nordamerika und mehr als 14.000 auf Europa.
CISA nahm die Schwachstelle in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) auf und verpflichtete die zivilen Bundesbehörden (Federal Civilian Executive Branch), ihre n8n-Instanzen bis zum 25. März abzusichern. Grundlage ist die verbindliche Anordnung BOD 22-01 aus dem November 2021. Diese Art von Schwachstelle sei ein häufiger Angriffsvektor und stelle ein erhebliches Risiko für die Bundesverwaltung dar, so die Behörde.
CISA empfiehlt, Gegenmaßnahmen gemäß den Herstelleranweisungen umzusetzen, die für Cloud-Dienste geltenden Vorgaben aus BOD 22-01 zu befolgen oder das Produkt einzustellen, falls keine Gegenmaßnahmen verfügbar sind. Obwohl BOD 22-01 nur für Bundesbehörden gilt, fordert CISA alle Netzwerkverantwortlichen auf, ihre Systeme so schnell wie möglich gegen die laufenden Angriffe abzusichern.
Seit Jahresbeginn hat das n8n-Sicherheitsteam mehrere weitere schwerwiegende Schwachstellen behoben, darunter eine als Ni8mare bezeichnete Lücke, die es nicht authentifizierten Angreifern aus der Ferne erlaubt, ungepatchte n8n-Server zu übernehmen.
