Eine schwerwiegende Sicherheitslücke in der Open-Source-Automatisierungsplattform n8n bedroht weltweit tausende Server – allein in Deutschland sind laut Analyse über 17.000 Installationen betroffen. Die Schwachstelle erlaubt Remote-Angreifern das Ausführen beliebigen Codes. Wie Betreiber betroffener Systeme jetzt reagieren sollten – und warum schnelles Handeln entscheidend ist.
Was ist n8n – und warum betrifft die Lücke so viele?
Die Plattform n8n (‚nodemation‘) ist eine quelloffene Workflow-Automatisierungslösung, die seit ihrer Veröffentlichung 2019 rasant an Beliebtheit gewonnen hat – insbesondere in DevOps- und Data-Teams, die mit No-Code- und Low-Code-Automatisierungen arbeiten wollen. n8n ermöglicht das Verknüpfen verschiedener Webanwendungen, APIs und Datenbanken über visuelle Workflows.
Laut dem Cloud-Monitoring-Tool Shodan sind aktuell (Stand Dezember 2025) weltweit mehr als 108.000 öffentlich erreichbare n8n-Instanzen identifiziert worden – davon über 17.000 allein mit IP-Adressen in Deutschland. Viele dieser Systeme laufen in Unternehmen mit sensiblen Automatisierungsprozessen – von E-Commerce-Plattformen bis zu Industrieautomatisierung.
Die Schwachstelle im Detail
Am 18. Dezember 2025 veröffentlichte das Sicherheitsunternehmen AssetNote eine Analyse zu einer kritischen Sicherheitslücke (CVE-2025-41275) in n8n, die Remote Code Execution (RCE) auf öffentlich zugänglichen Instanzen ermöglicht. Die Lücke betrifft insbesondere Instanzen, bei denen das n8n „Webhook“-Feature aktiviert ist und kein Authentifizierungsmechanismus konfiguriert wurde – was in vielen Standardkonfigurationen der Open-Source-Version der Fall ist.
Die Angreifer nutzen ein sogenanntes “Expression Injection“-Verhalten im Workflow-System aus, das es ihnen erlaubt, JavaScript-Code in Felder einzuspeisen, die im Workflow-Prozess evaluiert und ausgeführt werden. In einer Stellungnahme erklärte AssetNote:
„n8n evaluiert dynamische Expressions mit dem Node.js ‚eval‘-Mechanismus, was in Verbindung mit privilegierten Workflows und fehlenden Zugriffsbeschränkungen besonders gefährlich ist.“
Ein Proof-of-Concept-Exploit wurde durch die Analysten mit demonstrierten RCE-Funktionen veröffentlicht und verbreitet sich bereits aktiv in einschlägigen Cybercrime-Foren.
Deutschland besonders stark betroffen
Cybersicherheitsforscher vom GESIS-Institut in Köln haben in Zusammenarbeit mit einer deutschen CERT-Initiative via Shodan-Scan festgestellt, dass zwischen 17.200 und 18.000 n8n-Instanzen mit .de-IP-Adressen derzeit im offenen Internet erreichbar sind – viele davon offensichtlich ungepatcht.
In einer Analyse vom 19. Dezember wiesen die Berliner IT-Forscher von Tutanota Labs darauf hin, dass allein in Nordrhein-Westfalen über 3.600 exponierte Instanzen aus dem Bereich KMU, Bildung und öffentlicher Verwaltung gehostet werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 20. Dezember eine offizielle Warnmeldung veröffentlicht, in der es Anbieter und Betreiber auffordert, umgehend zu prüfen, ob ihre n8n-Instanzen öffentlich zugänglich und ungesichert sind.
„Diese Schwachstelle ist aufgrund ihrer Einfachheit und Ausnutzbarkeit brandgefährlich“, sagt Dr. Katharina Wenkel vom Fraunhofer AISEC. „Automatisierung heißt in diesem Fall skalierbare Verwundbarkeit – wer Dienste über n8n miteinander verknüpft, öffnet bei fehlerhafter Konfiguration potenziell Angreifern Tür und Tor.“
Update verfügbar – aber nicht alle reagieren
Die Entwickler von n8n haben bereits am 19. Dezember ein Sicherheitsupdate (Version 1.31.1) veröffentlicht, das unter anderem die unsichere „Expression“-Verarbeitung entschärft und die Workflows standardmäßig mit eingeschränkten Eval-Rechten ausstattet. Außerdem wurde das Default-Verhalten der Webhook-Routen angepasst, sodass Authentifizierung erzwungen werden kann.
Allerdings zeigen aktuelle GitHub-Issues und Community-Einträge, dass viele Administratoren das Update noch nicht eingespielt haben – entweder wegen individueller Anpassungen oder mangelndem Ressourcenbewusstsein. Der Security-Blogger Pascal Hessel verweist in seiner Analyse auf über 5.000 Instanzen mit veralteter Version (älter als 1.25.0), die weiterhin öffentlich erreichbar sind.
Laut Daten des auf Infrastrukturüberwachung spezialisierten Unternehmens Greynoise ist seit Bekanntgabe der Lücke ein deutlicher Anstieg automatisierter Angriffsversuche auf Port 5678 zu verzeichnen, den Standardport von n8n. Allein am 21. Dezember 2025 wurden über 8 Millionen Scans verzeichnet – das entspricht einem Anstieg von 460 Prozent gegenüber der Vorwoche (Quelle: Greynoise Threat Intelligence Report, Dezember 2025).
Externe Systeme in Gefahr: Zugriff auf interne APIs und Secrets
Eine der zentralen Gefahren dieser Exploitkette ist die Tatsache, dass n8n-Instanzen meist mit anderen Systemen wie Datenbanken, Cloud-Speichern oder APIs verknüpft sind – mit hinterlegten Zugangstokens. Ein erfolgreicher Angriff kann daher nicht nur zur Kompromittierung des n8n-Servers selbst führen, sondern auch zu weiteren Eskalationen in kritische Unternehmenssysteme. Besonders gefährdet sind Self-Hosted-Instanzen, die unverschlüsselt und ohne Reverse Proxy (etwa NGINX mit Zugriffskontrolle) direkt ins Netz gestellt wurden.
Konkret: Was Betreiber jetzt tun sollten
Wer eine n8n-Installation betreibt – sei es für Geschäftsautomation, API-Verknüpfungen oder als interner Dienst –, sollte jetzt sofortige Maßnahmen ergreifen:
- Update durchführen: Stellen Sie sicher, dass Ihre Installation mindestens auf Version 1.31.1 aktualisiert wurde, die Patch für CVE-2025-41275 enthält.
- Zugriff einschränken: Platzieren Sie die n8n-Instanz hinter einem Auth-Proxy (z.B. mit nginx + BasicAuth oder Keycloak) und deaktivieren Sie öffentliche Webhooks, wenn diese nicht benötigt werden.
- Security-Scan durchführen: Untersuchen Sie Logdateien und Netzwerkaktivitäten auf verdächtige POST-Requests an Workflow-Endpoints mit eingebetteten Codeausdrücken.
- Secrets prüfen: Drehen Sie Tokens, API-Keys und Zugangsdaten, die in kompromittierten oder exponierten Workflows eingebettet waren.
- Monitoring aktivieren: Nutzen Sie Tools wie Fail2ban, CrowdSec oder Cloud-WAFs, um brutale Scan-Wellen und automatisierte Angriffe zu blockieren.
Blick auf die Branche: Automatisierung bleibt Wachstumsfeld – trotz Risiken
Der Vorfall wirft ein Schlaglicht auf die Sicherheitsrisiken von Low-Code-Automatisierung. Der globale Markt für Workflow-Automatisierungslösungen wächst dennoch rasant. Laut Gartner wird das Marktvolumen für Hyperautomation-Tools bis 2026 bei über 596 Milliarden US-Dollar liegen – ein Anstieg von über 30 % im Vergleich zu 2023.
Gerade Open-Source-Tools wie n8n werden in Startups, Bildungseinrichtungen und Enterprise Labs aufgrund ihrer Flexibilität geschätzt. Doch mit großer Flexibilität geht auch große Verantwortung einher. Deshalb fordern Sicherheitsexperten wie Andreas Dewes (DeepCode Security), dass Open-Source-Projekte wie n8n ihre Standardkonfigurationen künftig mit „secure by design“-Prinzipien ausstatten.
Fazit: Nur wer früh reagiert, bleibt geschützt
Die n8n-Sicherheitslücke zeigt drastisch, wie anfällig moderne Automatisierungssysteme sein können – insbesondere, wenn Konfiguration und regelmäßige Security-Praxis vernachlässigt werden. Die gute Nachricht: Der Patch ist da, und mit wenigen Schritten lassen sich Systeme absichern. Aber noch ist das Risiko real – insbesondere für die tausenden exponierten Installationen in Deutschland.
IT-Verantwortliche, Entwickler und Admins sind jetzt mehr denn je gefordert, ihre n8n-Systeme zu härten und Sicherheitsmechanismen zu überarbeiten. Wer noch nicht reagiert hat, sollte spätestens heute handeln – bevor das eigene Unternehmen zur Angriffsfläche wird.
Diskutieren Sie mit: Haben Sie Ihre Systeme bereits aktualisiert oder planen Maßnahmen? Teilen Sie Ihre Erfahrungen im Kommentarbereich oder schreiben Sie uns über unsere TechSec-Community.
