Die Schwachstelle CVE-2025-68613 betrifft das Expression-Evaluation-System von n8n und entstand durch eine fehlerhafte Kontrolle dynamisch verwalteter Code-Ressourcen. Wie CISA mitteilte, könnte ein authentifizierter Angreifer diese Lücke ausnutzen, um beliebigen Code mit den Privilegien des n8n-Prozesses auszuführen. Das Schadenpotenzial ist enorm: Eine erfolgreiche Ausnutzung könnte zur vollständigen Kompromittierung der betroffenen Instanz führen, wodurch Angreifer auf sensible Daten zugreifen, Workflows manipulieren oder systemweite Operationen durchführen könnten.
n8n hat die Lücke bereits im Dezember 2025 in den Versionen 1.120.4, 1.121.1 und 1.122.0 behoben. Dennoch deuten die verfügbaren Daten darauf hin, dass viele Organisationen ihre Systeme noch nicht aktualisiert haben. Dies ist das erste Mal, dass eine n8n-Schwachstelle in CISAs KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen wurde – ein deutliches Zeichen für die Ernst haftigkeit der Situation.
Besonders alarmierend ist die geografische Verteilung der gefährdeten Systeme. Mit etwa 7.800 betroffenen Instanzen in Europa liegt auch der deutschsprachige Raum im Fokus potenzieller Angreifer. Unternehmen, die n8n zur Integration verschiedener Geschäftsprozesse nutzen, sollten daher sofort ihre Systeme überprüfen und aktualisieren.
Parallel zu dieser Warnung hat das Sicherheitsunternehmen Pillar Security zwei weitere kritische Schwachstellen in n8n aufgedeckt. Eine davon – CVE-2026-27577 mit einem CVSS-Score von 9,4 – wurde ebenfalls im Expression-Evaluation-System identifiziert und wird bereits aktiv ausgenutzt.
Die US-Bundesbehörden unterliegen einem Binding Operational Directive, das sie zur Behebung der Lücke bis zum 25. März 2026 verpflichtet. Für private Unternehmen und deutsche Behörden gibt es jedoch keine ähnliche Frist – hier ist Eigenverantwortung gefragt. Sicherheitsexperten empfehlen, die Aktualisierung so schnell wie möglich durchzuführen, um das Risiko einer Kompromittierung zu minimieren.