Die CISA hat die Schwachstelle CVE-2025-68613 in ihren KEV-Katalog aufgenommen und stützt sich dabei auf Belege für eine aktive Ausnutzung. Die Behörde beschreibt das Problem als eine unzureichende Kontrolle dynamisch verwalteter Code-Ressourcen im System zur Auswertung von Workflow-Ausdrücken, die eine Remote Code Execution ermöglicht.
Die Lücke trägt einen CVSS-Wert von 9.9 und wurde von n8n im Dezember 2025 mit den Versionen 1.120.4, 1.121.1 und 1.122.0 geschlossen. Es ist die erste n8n-Schwachstelle überhaupt, die in den KEV-Katalog aufgenommen wurde.
Nach Angaben der Plattformbetreiber lässt sich der Fehler von einem authentifizierten Angreifer ausnutzen, um beliebigen Code mit den Rechten des n8n-Prozesses auszuführen. Gelingt dies, kann die betroffene Instanz vollständig kompromittiert werden: Angreifer könnten dann auf sensible Daten zugreifen, Workflows verändern oder Operationen auf Systemebene ausführen.
Wie die Schwachstelle konkret in freier Wildbahn ausgenutzt wird, ist bislang nicht bekannt. Zahlen der Shadowserver Foundation belegen jedoch das Ausmaß der Exposition: Demnach waren Anfang Februar 2026 mehr als 24.700 ungepatchte Instanzen aus dem Internet erreichbar, davon über 12.300 in Nordamerika und 7.800 in Europa.
Parallel zur Aufnahme von CVE-2025-68613 meldete Pillar Security zwei weitere kritische Lücken in n8n. Eine davon – CVE-2026-27577 mit einem CVSS-Wert von 9.4 – wird als zusätzlicher Exploit eingestuft, der im Anschluss an CVE-2025-68613 im selben System zur Auswertung von Workflow-Ausdrücken entdeckt wurde.
Behörden der zivilen US-Bundesverwaltung (Federal Civilian Executive Branch) wurden verpflichtet, ihre n8n-Instanzen bis zum 25. März 2026 zu aktualisieren. Grundlage ist die im November 2021 erlassene Binding Operational Directive (BOD 22-01).
