Aktuell beobachten Sicherheitsforscher gezielte Angriffe auf die Automatisierungsplattform n8n. Angreifer nutzen eine bereits bekannte Sicherheitslücke aus, die seit Januar öffentlich dokumentiert ist. Die US-Sicherheitsbehörde CISA hat die Schwachstelle deshalb inzwischen in ihren Katalog der aktiv ausgenutzten Sicherheitslücken aufgenommen – ein klares Signal, dass reale Angriffe stattfinden.
Besonders kritisch wird die Situation durch die Möglichkeit, mehrere Schwachstellen miteinander zu kombinieren. Die Lücke CVE-2025-68613 weist zwar „nur“ eine hohe Risikobewertung auf, doch in Verbindung mit der als „Ni8mare“ bekannten Schwachstelle CVE-2026-21858 entsteht ein erheblich größeres Gefahrenpotenzial. In diesem Szenario könnten Angreifer beliebige Systemkommandos ausführen und so die Kontrolle über betroffene Systeme übernehmen.
Wie genau die aktuellen Angriffe ablaufen, ist bislang nicht öffentlich bekannt. Die CISA nennt bewusst keine technischen Details. Auch sogenannte Indicators of Compromise – also typische Hinweise auf eine erfolgreiche Kompromittierung – wurden bisher nicht veröffentlicht. Dadurch wird es für IT-Abteilungen schwieriger zu erkennen, ob ihre Systeme bereits betroffen sind.
Ein weiteres Problem: Viele n8n-Instanzen sind offenbar unzureichend abgesichert und direkt aus dem Internet erreichbar. Untersuchungen der Shadowserver Foundation zeigen, dass Anfang Februar weltweit noch über 24.000 verwundbare Systeme im Netz erreichbar waren, darunter fast 8.000 in Europa.
Zusätzlich wurden Ende Februar weitere kritische Schwachstellen entdeckt. Besonders brisant ist dabei eine Zero-Click-Sicherheitslücke, die laut Analyse von Pillar Security Codeschmuggel ohne jegliche Nutzerinteraktion ermöglichen kann. Die Forscher identifizierten mehr als 50.000 potenziell verwundbare Endpunkte im Internet.
Dabei ist n8n alles andere als ein Nischenprodukt. Mehr als 230.000 Organisationen nutzen die Automatisierungsplattform, und die zugehörigen Docker-Container wurden bereits über 100 Millionen Mal heruntergeladen. Genau diese Verbreitung macht solche Sicherheitslücken besonders relevant.
Für Unternehmen ergibt sich daraus eine klare Handlungsempfehlung: n8n-Systeme sollten unbedingt auf aktuelle Versionen aktualisiert werden. Empfohlen werden mindestens die Versionen 2.10.1, 2.9.3 oder 1.123.22 – beziehungsweise jeweils neuere Releases. Darüber hinaus sollten Instanzen möglichst nicht direkt aus dem Internet erreichbar sein. Eine Beschränkung auf interne Netzwerke sowie klar definierte Zugriffsrechte für Mitarbeiter und Systeme reduziert das Risiko erheblich.