Six Eight Consulting Logo
Security News

Kritische n8n-Sicherheitslücke (CVE-2026-21858): Wie eine Form-Funktion zur vollständigen Übernahme führt

Veröffentlicht: | Aktualisiert:
7 Minuten Lesezeit
Tags: IT-Security n8n CVE-2026-21858 Remote Code Execution Workflow Automation DevOps Security
Kritische n8n-Sicherheitslücke (CVE-2026-21858): Wie eine Form-Funktion zur vollständigen Übernahme führt – Artikel von Mika Schmidt, IT-Security Consultant / Analyst

Die Workflow-Automatisierungsplattform n8n ist von einer kritischen Sicherheitslücke (CVE-2026-21858, CVSS 10.0) betroffen, die unter bestimmten Bedingungen eine unauthentifizierte vollständige Übernahme selbst gehosteter Instanzen erlaubt. [Research]

Besonders brisant: Die Schwachstelle entsteht nicht durch exotische Sonderkonfigurationen, sondern durch eine unglückliche Kombination weit verbreiteter n8n-Features – konkret Formular-Workflows mit Datei-Uploads. In diesem Beitrag erklären wir verständlich, aber technisch korrekt, wie der Angriff funktioniert, wer betroffen ist und welche konkreten Maßnahmen Unternehmen jetzt ergreifen sollten.

Update · 05. Februar 2026

Neben CVE-2026-21858 wurden inzwischen zehn weitere n8n-Schwachstellen veröffentlicht, darunter sechs kritische (u. a. Command Execution/Sandbox-Escape/Arbitrary File Write). Empfehlung: Patch-Stand prüfen und auf eine aktuelle Version aktualisieren (aktuell: stable 2.6.3, beta 2.7.1). [Update / Security News] [Vendor]

Einordnung: Diese neuen CVEs betreffen andere Komponenten als Ni8mare – sie unterstreichen aber, warum n8n insgesamt wie ein Tier-0-System behandelt werden sollte. Eine praxisnahe Perspektive auf Supply-Chain-Risiken finden Sie hier: n8n Supply-Chain-Angriff: Community Nodes & OAuth-Tokens .

1. Überblick: Was ist CVE-2026-21858?

Laut dem offiziellen Security Advisory betrifft die Schwachstelle n8n-Versionen 1.65 bis 1.120.4. Sie wurde im November 2025 gemeldet und mit Version 1.121.0 behoben. [Security Advisory]

Der Kern des Problems: Bestimmte Formular-basierte Workflows können bei fehlerhafter Eingabevalidierung von unauthentifizierten Angreifern missbraucht werden. Je nach Deployment-Konfiguration reicht dies von unautorisiertem Dateizugriff bis hin zu Remote Code Execution.

2. Wer ist betroffen?

  • Selbst gehostete n8n-Instanzen mit Versionen 1.65–1.120.4
  • Instanzen mit aktiven Form-Workflows, die:
    • eine Form Submission mit Datei-Upload akzeptieren
    • und eine Form Ending-Node mit binärer Ausgabe nutzen

Nicht betroffen sind:

  • n8n Cloud-Instanzen (automatisch gepatcht)
  • Alle n8n-Versionen ≥ 1.121.0
  • Alle 2.x-Versionen (inkl. RCs)

3. Technische Analyse: Content-Type Confusion als Ausgangspunkt

Die Schwachstelle trägt den Codenamen „Ni8mare“ und basiert auf einer klassischen, aber oft unterschätzten Klasse von Fehlern: Content-Type Confusion.

n8n verarbeitet eingehende Webhook-Requests abhängig vom Content-Type-Header:

  • multipart/form-data → Datei-Parser (Formidable)
  • andere Typen (z. B. application/json) → regulärer Body-Parser

Das Problem entsteht, wenn Datei-verarbeitende Funktionen auf req.body.files zugreifen, ohne zuvor sicherzustellen, dass tatsächlich ein Multipart-Upload verarbeitet wurde. Genau dieses Muster existiert im Form Webhook Node.

3.1 Arbitrary File Read

Durch gezielte Manipulation des Content-Type-Headers kann ein Angreifer den regulären Body-Parser erzwingen und dabei req.body.files selbst kontrollieren. Das ermöglicht das Kopieren beliebiger lokaler Dateien (z. B. /etc/passwd oder Konfigurationsdateien) in nachgelagerte Workflow-Nodes. [Research]

3.2 Von File Read zu Admin-Zugriff

In lokalen n8n-Deployments liegen sowohl:

  • die SQLite-Datenbank mit Benutzerkonten
  • als auch der Secret-Key zur Signierung der Auth-Sessions

direkt auf dem Dateisystem. Über den Arbitrary-Read-Primitive lassen sich diese Informationen extrahieren und ein gültiger n8n-auth-Session-Cookie fälschen. Das Ergebnis ist ein vollständiger Authentication Bypass.

3.3 Der letzte Schritt: Code Execution

Nach erfolgreichem Admin-Login ist die eigentliche Code-Ausführung trivial: Der integrierte Execute Command-Node erlaubt das Ausführen beliebiger Systembefehle. Damit ist die vollständige Übernahme der n8n-Instanz erreicht.

4. Warum diese Schwachstelle so gefährlich ist

n8n fungiert in vielen Organisationen als zentrale Automatisierungs-Schicht – mit Zugriff auf:

  • Cloud-APIs
  • OAuth-Tokens
  • Datenbanken
  • CI/CD-Systeme
  • Interne Business-Anwendungen

Eine kompromittierte n8n-Instanz ist daher nicht „nur ein Server“, sondern ein Single Point of Failure mit erheblicher Reichweite.

5. Konkrete Maßnahmen für Unternehmen

  1. Sofort aktualisieren: Upgrade auf n8n ≥ 1.121.0
  2. Form-Workflows prüfen: Datei-Uploads nur, wenn zwingend notwendig
  3. Exponierung reduzieren: Kein direkter Internet-Zugriff ohne Authentifizierung
  4. Secrets rotieren: API-Keys und Tokens als potenziell kompromittiert betrachten
  5. Monitoring etablieren: Webhook-Zugriffe und ungewöhnliche Workflow-Ausführungen überwachen

Diese Sofortmaßnahmen adressieren CVE-2026-21858 direkt. Für eine umfassende, systematische Absicherung Ihrer n8n-Installation empfehlen wir unsere detaillierte Checkliste: Sichere n8n-Deployments . Diese behandelt nicht nur Remote Exploits wie CVE-2026-21858, sondern auch Supply-Chain-Risiken, Credential-Management und weitere kritische Aspekte – maßgeschneidert für Startups, KMU und Enterprise.

6. FAQ zur n8n-Sicherheitslücke

Ist jede n8n-Installation betroffen?

Nein. Betroffen sind nur selbst gehostete Instanzen mit Versionen 1.65–1.120.4 und spezifischen Form-Workflows mit Datei-Upload.

Warum wurde die Lücke erst später öffentlich gemacht?

Laut n8n erfolgte die Kommunikation bewusst verzögert, um verantwortungsvolle Offenlegung zu ermöglichen und Massenangriffe vor breiter Patch-Verfügbarkeit zu vermeiden.

Reicht das Update allein aus?

Das Update schließt die konkrete Lücke. Langfristig sollten n8n-Instanzen jedoch wie kritische Infrastruktur behandelt und entsprechend segmentiert und überwacht werden. Eine systematische Anleitung hierfür bietet unsere Checkliste: Sichere n8n-Deployments .

7. Quellen & weiterführende Links

Offizielle Hersteller-Informationen und technische Analysen:

Security Advisory

Security Vulnerability in n8n Versions 1.65–1.120.4

n8n Team, Januar 2026

https://docs.n8n.io/hosting/security/

Research

Ni8mare – Unauthenticated Remote Code Execution in n8n (CVE-2026-21858)

Cyera Research Labs, Januar 2026

https://www.cyera.com/research-labs/ni8mare-unauthenticated-remote-code-execution-in-n8n-cve-2026-21858

Update / Security News

Automation tool n8n: Further critical vulnerabilities patched

heise online, 05.02.2026

https://www.heise.de/en/news/Automation-tool-n8n-Further-critical-vulnerabilities-patched-11165900.html

Vendor

Release notes | n8n Docs

n8n Docs, Februar 2026

https://docs.n8n.io/release-notes/

Für eine umfassende, praxisnahe Anleitung zur Absicherung Ihrer n8n-Installation empfehlen wir unsere Checkliste: Sichere n8n-Deployments für Startups, KMU & Enterprise . Diese behandelt systematisch alle relevanten Sicherheitsaspekte – von Remote Exploits über Supply-Chain-Risiken bis hin zu Credential-Management.

Wenn Sie unsicher sind, ob Ihre n8n-Umgebung betroffen ist oder Unterstützung bei der Absicherung benötigen, empfehlen wir einen IT-Security-Quick-Check .

Sie möchten diese Schritte auf Ihr Unternehmen übertragen?

In einem kurzen Gespräch klären wir, welche Maßnahmen für Sie konkret sinnvoll sind – ohne Over-Engineering.

Erstgespräch buchen Zurück zur Übersicht

Cookies & Analyse

Ich nutze Cookies für anonyme Statistik mit Google Analytics. Sie können zustimmen oder ablehnen. Ihre Auswahl können Sie später jederzeit in den Browser-Cookies ändern.