Kontakt
Grafik mit n8n-Logo, dargestellt vor einem abstrakten technischen Hintergrund aus Netzwerken und Datenverbindungen in Graustufen und Orangeakzenten, visualisiert als Hinweis auf eine Sicherheitslücke (CVE-2025-68613) im Automatisierungswerkzeug n8n.
  • News

Kritische Sicherheitslücke in n8n: Über 17.000 deutsche Server betroffen

Eine kritische Sicherheitslücke in n8n bedroht über 103.000 Instanzen weltweit- Allein in Deutschland sind mehr als 17.000 Server betroffen. Die Schwachstelle mit CVSS-Score 9,9 ermöglicht authentifizierten Nutzern die vollständige Kontrolle über Server. Erfahre, ob du betroffen bist und was du jetzt tun musst.

Die beliebte Workflow-Automation-Plattform n8n hat eine kritische Sicherheitslücke, die über 103.000 Instanzen weltweit gefährdet darunter mehr als 17.000 Server allein in Deutschland. Was du jetzt wissen musst.

 

Was ist passiert?

Am 19. Dezember 2025 wurde eine gravierende Schwachstelle in n8n öffentlich gemacht, die als CVE-2025-68613 katalogisiert wurde. Mit einem CVSS-Score von 9,9 von 10,0 gehört sie zu den kritischsten Sicherheitslücken, die jemals in einer Workflow-Automation-Plattform entdeckt wurden. Der türkische Sicherheitsforscher Fatih Çelik entdeckte das Problem.

In einfachen Worten: n8n erlaubt es Nutzern, in Workflows bestimmte Ausdrücke und Befehle zu verwenden. Diese sollten eigentlich in einem geschützten Bereich ablaufen. Die Lücke ermöglicht es aber, aus diesem geschützten Bereich auszubrechen und direkten Zugriff auf den Server zu bekommen. Ähnlich wie wenn jemand aus einem abgesicherten Besucherbereich in den Serverraum gelangen könnte.

 

Wie gefährlich ist das wirklich?

Ein Angreifer, der sich bereits in dein n8n einloggen kann, könnte:

  • Auf alle deine gespeicherten Daten zugreifen
  • Deine automatisierten Workflows verändern
  • Gespeicherte Passwörter und API-Keys auslesen
  • Im schlimmsten Fall den gesamten Server übernehmen

 

Bin ich betroffen?

Betroffen sind:

Nicht betroffen sind:

  • Nutzer von n8n.cloud (der offiziellen Cloud-Version von n8n)
  • Diese wurde bereits automatisch von n8n aktualisiert

So findest du deine Version heraus:

Wenn du n8n selbst installiert hast, öffne deine n8n-Oberfläche im Browser. Die Versionsnummer findest du meist unten links oder in den Einstellungen. Alternativ kannst du in der Kommandozeile bzw. dem Terminal den Befehl n8n --version eingeben.

 

Statement von n8n

Liam McGarrigle, Senior Developer bei n8n, äußerte sich auf LinkedIn zur Schwachstelle (übersetzt aus dem Englischen):

„Wenn du Version 1.120.4 oder neuer verwendest (einschließlich 2.x.x), bist du nicht betroffen. Falls du eine ältere Version nutzt, aktualisiere bitte sofort. Wichtiger Kontext: Diese Schwachstelle erfordert, dass der Angreifer in deiner Instanz eingeloggt ist. Ein Angreifer benötigt existierende Zugangsdaten oder muss ein interner böswilliger Akteur in deinem Unternehmen sein. Auch wenn ‚Remote Code Execution‘ alarmierend klingt (und das zu Recht), bedeutet es nicht zwangsläufig, dass jeder im Internet dies ausnutzen kann. Der Angreifer muss bereits in deiner Instanz eingeloggt sein.“

Was bedeutet das konkret? Die Lücke kann nicht von jedem beliebigen Internetnutzer ausgenutzt werden. Der Angreifer braucht gültige Login-Daten für deine n8n-Installation. Dennoch ist Vorsicht geboten: In Unternehmen mit mehreren Nutzern, ehemaligen Mitarbeitern mit noch aktiven Accounts oder schwachen Passwörtern bleibt die Gefahr real.

 

Was musst du jetzt tun?

Für n8n.cloud-Nutzer

Gute Nachrichten: Du musst nichts tun. n8n hat die Cloud-Version bereits automatisch aktualisiert. Deine Workflows laufen sicher weiter.

 

Für selbst gehostete Installationen

Du musst deine n8n-Installation aktualisieren. Wie das geht, hängt davon ab, wie du n8n installiert hast:

Standard-Installation (mit npm): Öffne deine Kommandozeile/Terminal und führe aus:

npm update n8n -g

Das installiert automatisch die neueste, sichere Version.

Docker-Installation: Aktualisiere dein Docker-Image auf die Version 1.120.4 oder höher. Stoppe dazu deine laufende Installation, lade die neue Version herunter und starte n8n neu.

Andere Installationsmethoden: Schau in die offizielle n8n-Dokumentation oder wende dich an deinen Administrator bzw. IT-Dienstleister.

 

Wenn du nicht sofort aktualisieren kannst

Manchmal ist ein sofortiges Update aus betrieblichen Gründen nicht möglich. In diesem Fall solltest du zumindest diese Schutzmaßnahmen ergreifen:

  1. Zugriff einschränken: Entferne alle Nutzer-Accounts, die nicht unbedingt nötig sind
  2. Berechtigungen prüfen: Nur wirklich vertrauenswürdigen Personen sollte erlaubt sein, Workflows zu erstellen oder zu bearbeiten
  3. Logs überprüfen: Schaue regelmäßig nach ungewöhnlichen Aktivitäten

Wichtig: Diese Maßnahmen sind nur Notlösungen und ersetzen nicht das Update!

 

Wurde meine Installation bereits angegriffen?

Es gibt bisher keine bestätigten Berichte über aktive Angriffe. Trotzdem solltest du aufmerksam sein. Achte auf:

  • Workflows, die du oder deine Kollegen nicht erstellt haben
  • Veränderungen an bestehenden Workflows, die niemand vorgenommen hat
  • Ungewöhnliche Aktivitäten zu Zeiten, an denen normalerweise niemand arbeitet
  • Zugriffe auf gespeicherte Passwörter und API-Keys, die nicht erklärbar sind

Falls dir etwas verdächtig vorkommt, ändere vorsichtshalber alle in n8n gespeicherten Passwörter und API-Keys.

 

Das Ausmaß der Bedrohung

n8n ist weit verbreitet: Die Software wird etwa 57.000 Mal pro Woche heruntergeladen und von Unternehmen weltweit eingesetzt. Die Attack-Surface-Management-Plattform Censys hat über 103.000 potenziell verwundbare Instanzen identifiziert. Davon stehen über 17.000 in Deutschland – das macht Deutschland zum zweitgrößten betroffenen Land nach den USA.

Da bereits Anleitungen zur Ausnutzung der Lücke veröffentlicht wurden, ist die Gefahr real und nicht nur theoretisch.

 

Langfristig sicherer werden

Diese Sicherheitslücke solltest du zum Anlass nehmen, deine n8n-Installation generell besser abzusichern:

  • Zwei-Faktor-Authentifizierung aktivieren: So reicht ein gestohlenes Passwort alleine nicht aus
  • Regelmäßige Updates: Aktiviere automatische Update-Benachrichtigungen
  • Starke Passwörter: Verwende für jeden Nutzer ein einzigartiges, starkes Passwort
  • Regelmäßige Überprüfung: Kontrolliere, wer Zugriff auf deine Instanz hat und entferne nicht mehr benötigte Accounts

 

Fazit

Mit über 103.000 betroffenen Instanzen weltweit und mehr als 17.000 Servern allein in Deutschland ist CVE-2025-68613 eine ernsthafte Bedrohung. Die gute Nachricht: Wenn du n8n.cloud nutzt, bist du bereits geschützt. Für selbst gehostete Installationen gilt: Update so schnell wie möglich durchführen.

Die Schwachstelle erfordert zwar Login-Daten, aber in der Praxis gibt es viele Szenarien, in denen diese in falsche Hände geraten können – von ehemaligen Mitarbeitern über Phishing-Angriffe bis hin zu schwachen Passwörtern.

Behandle dieses Update als Priorität und nutze die Gelegenheit, deine gesamte n8n-Sicherheit auf den Prüfstand zu stellen.


Quellen:

Marvin Gebicke

Marvin Gebicke

Marvin Gebicke ist Gründer von procid. Nach mehreren Jahren in der Software- und Datenschutzbranche kennt er die Herausforderungen, die entstehen, wenn Abläufe wachsen, aber die Zeit für Prozessoptimierung fehlt. Heute begleitet er kleine und mittelständische Unternehmen dabei, ihre Arbeit einfacher, effizienter und zeitgemäßer zu gestalten.

Klarheit schafft Zeit. Zeit schafft Fortschritt.

Beginnen wir dort, wo es sich wirklich lohnt.

Jetzt Potenziale wecken

Weitere Artikel

Datenschutzeinstellungen