n8n Sicherheitslücke CVE-2025-68613: Sofort-Maßnahmen für eure Workflow-Automation

„Unsere Workflows laufen seit Monaten stabil – wieso sollte ich jetzt dringend patchen?“ Diese Frage hören wir nach der Veröffentlichung von CVE-2025-68613 besonders häufig. Die Antwort ist eindeutig: Mit einem CVSS-Score von 9.9 gehört diese Schwachstelle zu den kritischsten, die jemals in einer Workflow-Automation-Plattform entdeckt wurden. Nach über 15 Jahren Erfahrung in Softwarequalität, Open Source und Remote Consulting zeigen wir euch, was ihr jetzt tun müsst und wie ihr eure n8n-Instanzen langfristig absichert.

Die kritische Schwachstelle im Detail

Am 19. Dezember 2025 wurde eine gravierende Sicherheitslücke in der beliebten Workflow-Automation-Plattform n8n öffentlich gemacht. Der Sicherheitsforscher Fatih Çelik entdeckte, dass authentifizierte Nutzer unter bestimmten Bedingungen beliebigen Code auf dem Server ausführen können. Das Problem liegt in der Expression-Evaluation von n8n: Workflow-Ausdrücke werden in einem Kontext ausgewertet, der nicht ausreichend von der zugrundeliegenden Runtime isoliert ist.

Konkret bedeutet das: Ein Angreifer mit gültigem Account kann manipulierte Ausdrücke in Workflow-Konfigurationen einschleusen und damit vollständige Kontrolle über die betroffene Instanz erlangen. Die Auswirkungen reichen von unbefugtem Datenzugriff über Manipulation von Workflows bis hin zur Ausführung von Betriebssystem-Befehlen mit den Rechten des n8n-Prozesses.

Welche n8n-Versionen sind von CVE-2025-68613 betroffen?

Die Schwachstelle betrifft alle n8n-Versionen ab 0.211.0 bis einschließlich der ungepatchten Releases. Konkret müsst ihr handeln, wenn ihr eine Version vor 1.120.4, 1.121.1 oder 1.122.0 einsetzt. Das npm-Paket verzeichnet etwa 57.000 wöchentliche Downloads, was das Ausmaß der potenziellen Bedrohung verdeutlicht.

Prüft eure installierte Version mit folgendem Befehl:

n8n --version

Für Docker-Installationen:

docker exec your-n8n-container n8n --version

Wenn eure Version im betroffenen Bereich liegt, ist sofortiges Handeln erforderlich. Die Attack Surface Management-Plattform Censys hat Stand 22. Dezember 2025 über 103.000 potenziell verwundbare Instanzen im Internet identifiziert – die Mehrheit davon in den USA, Deutschland, Frankreich, Brasilien und Singapur.

Wie gefährlich ist die n8n Sicherheitslücke wirklich?

Der CVSS-Score von 9.9 ist keine Übertreibung. Die Kombination mehrerer Faktoren macht diese Schwachstelle besonders kritisch: Die Ausnutzung erfordert zwar Authentifizierung, aber keine erhöhten Privilegien – jeder Nutzer mit Workflow-Bearbeitungsrechten kann die Lücke ausnutzen. Proof-of-Concept-Code wurde bereits von SecureLayer7 veröffentlicht, was die technische Hürde für Angriffe deutlich senkt.

n8n-Instanzen sind oft mit sensiblen Systemen verbunden: CRM-Daten, API-Keys zu Cloud-Services, Datenbank-Credentials und interne Geschäftslogik. Ein kompromittiertes n8n kann daher als Sprungbrett für laterale Bewegungen im Netzwerk dienen. Bei unseren Consulting-Projekten sehen wir regelmäßig, dass Workflow-Automations-Plattformen Zugriff auf kritische Geschäftsdaten haben – ein Kompromiss auf dieser Ebene kann schnell zur unternehmensweiten Sicherheitskrise eskalieren.

Wie aktualisiere ich n8n auf eine sichere Version?

Das Update auf eine gepatchte Version sollte höchste Priorität haben. Für npm-Installationen:

npm update n8n -g

Für Docker-basierte Deployments aktualisiert ihr das Image:

docker pull n8nio/n8n:1.120.4
docker-compose down
docker-compose up -d

Für Kubernetes-Deployments mit Helm:

helm repo update
helm upgrade n8n n8nio/n8n --set image.tag=1.120.4

Best Practice aus der Praxis: Führt das Update zunächst in einer Staging-Umgebung durch und testet eure kritischen Workflows, bevor ihr in Production deployed. Automatisierte Tests für Workflows, die wir in vielen Projekten eingerichtet haben, zahlen sich in solchen Situationen besonders aus.

Was kann ich tun, wenn ich nicht sofort patchen kann?

Manchmal verhindern Change-Management-Prozesse oder Abhängigkeiten ein sofortiges Update. In diesem Fall empfehlen die n8n-Maintainer folgende Interims-Maßnahmen:

Die wichtigste Sofortmaßnahme ist die Einschränkung der Workflow-Bearbeitungsrechte auf absolut vertrauenswürdige Nutzer. Entfernt alle Accounts, die keine aktive Notwendigkeit haben, Workflows zu erstellen oder zu bearbeiten. Überprüft bestehende Workflows auf verdächtige Änderungen der letzten Tage.

Härtet eure n8n-Umgebung zusätzlich ab:

# Beispiel: n8n mit eingeschränkten OS-Privilegien starten
docker run -d 
  --user 1000:1000 
  --read-only 
  --cap-drop=ALL 
  -e N8N_BASIC_AUTH_ACTIVE=true 
  n8nio/n8n:latest

Beschränkt den Netzwerkzugriff auf das absolute Minimum – idealerweise sollte n8n nur über VPN oder allow-gelistete IPs erreichbar sein. Diese Maßnahmen bieten jedoch nur unvollständigen Schutz und sollten ausschließlich als Überbrückung bis zum Patch dienen.

Wie überprüfe ich, ob meine n8n-Instanz bereits angegriffen wurde?

Bei einer Schwachstelle dieser Schwere ist forensische Analyse sinnvoll. Überprüft zunächst eure n8n-Logs auf ungewöhnliche Aktivitäten:

# Logs der letzten 7 Tage durchsuchen
grep -r "expression" /var/log/n8n/ | grep -i "error|warning"

Achtet besonders auf:

• Neu erstellte oder modifizierte Workflows, die ihr nicht zuordnen könnt
• Ungewöhnliche Execution-Patterns zu untypischen Zeiten
• Workflows mit Code-Nodes, die Systemaufrufe enthalten
• Credentials, die ungewöhnlich häufig abgerufen wurden

Für Docker-Installationen könnt ihr die Container-Logs analysieren:

docker logs --since="2025-12-15" n8n-container | grep -E "(exec|spawn|child_process)"

Falls ihr Hinweise auf einen Kompromiss findet, solltet ihr alle in n8n gespeicherten Credentials als kompromittiert betrachten und sofort rotieren. Bei Never Code Alone unterstützen wir Teams bei der forensischen Analyse und dem Incident Response – kontaktiert uns unter roland@nevercodealone.de, wenn ihr Unterstützung benötigt.

Welche Best Practices schützen n8n langfristig?

Die aktuelle Schwachstelle ist ein Weckruf für alle, die Workflow-Automation im Unternehmenseinsatz betreiben. Langfristiger Schutz erfordert einen mehrschichtigen Ansatz:

Authentifizierung und Zugriffskontrolle: Setzt Multi-Faktor-Authentifizierung für alle n8n-Nutzer durch. Integriert n8n mit eurem bestehenden Identity Provider über SAML oder OIDC. Implementiert das Least-Privilege-Prinzip konsequent – nicht jeder Nutzer braucht Workflow-Bearbeitungsrechte.

Netzwerksicherheit: n8n sollte niemals direkt aus dem Internet erreichbar sein. Setzt einen Reverse Proxy mit HTTPS vor die Instanz und beschränkt den Zugriff auf interne Netzwerke oder VPN. Webhook-URLs sollten lang, einzigartig und mit Token-Authentifizierung geschützt sein.

Credential-Management: Nutzt die eingebaute Verschlüsselung für Credentials konsequent. Für Enterprise-Umgebungen empfehlen wir die Integration mit HashiCorp Vault oder ähnlichen Secrets-Management-Lösungen. Rotiert API-Keys und Tokens regelmäßig.

# Beispiel: n8n mit externem Secrets-Manager
environment:
  - N8N_ENCRYPTION_KEY=${VAULT_N8N_KEY}
  - DB_POSTGRESDB_PASSWORD=${VAULT_DB_PASSWORD}

Wie sichere ich Webhooks in n8n richtig ab?

Exponierte Webhooks ohne Authentifizierung gehören zu den häufigsten Sicherheitsproblemen in n8n-Deployments. Jeder Webhook erzeugt eine öffentlich erreichbare URL, die bei falscher Konfiguration zum Einfallstor werden kann.

Implementiert Authentifizierung für jeden Webhook:

// Im Webhook-Node: Header-basierte Authentifizierung
const authHeader = $input.first().headers['x-webhook-secret'];
if (authHeader !== process.env.WEBHOOK_SECRET) {
  throw new Error('Unauthorized');
}

Weitere Absicherungsmaßnahmen:

• Nutzt lange, zufällig generierte Webhook-Pfade statt vorhersagbarer Namen
• Implementiert Rate Limiting auf Reverse-Proxy-Ebene
• Validiert alle eingehenden Daten vor der Verarbeitung
• Rotiert Webhook-URLs periodisch, insbesondere nach Personal-Wechseln

Aus Consulting-Erfahrung wissen wir: Die meisten Webhook-bezogenen Sicherheitsvorfälle entstehen durch fehlende Input-Validierung. Behandelt alle über Webhooks empfangenen Daten als potenziell gefährlich.

Welche Compliance-Anforderungen betreffen n8n-Deployments?

Workflow-Automation-Plattformen verarbeiten oft personenbezogene Daten und unterliegen damit DSGVO, HIPAA oder PCI DSS – je nach Branche und Region. Die CVE-2025-68613 verdeutlicht, warum Compliance-Anforderungen auch für interne Tools ernst genommen werden müssen.

Für DSGVO-konforme n8n-Deployments:

• Dokumentiert alle Datenflüsse durch eure Workflows
• Implementiert Datensparsamkeit – sammelt nur die notwendigen Informationen
• Ermöglicht die Umsetzung von Betroffenenrechten (Auskunft, Löschung, Berichtigung)
• Führt ein Verarbeitungsverzeichnis, das n8n-Workflows einschließt

Audit-Logs sind nicht optional:

# Audit-Logging aktivieren
export N8N_LOG_LEVEL=debug
export N8N_LOG_OUTPUT=console,file
export N8N_LOG_FILE_LOCATION=/var/log/n8n/

Für regulierte Branchen empfehlen wir zusätzlich: Regelmäßige Sicherheits-Audits der n8n-Konfiguration, dokumentierte Incident-Response-Prozesse und periodische Überprüfung aller integrierten Drittanbieter-Services.

Wie kann ich n8n-Updates automatisieren?

Manuelles Patchen ist fehleranfällig und wird bei Zeitdruck oft aufgeschoben. Automatisierte Update-Prozesse stellen sicher, dass Sicherheitspatches zeitnah eingespielt werden.

Für Kubernetes-Umgebungen mit GitOps:

# Renovate-Konfiguration für automatische Image-Updates
{
  "extends": ["config:base"],
  "packageRules": [
    {
      "matchPackageNames": ["n8nio/n8n"],
      "automerge": true,
      "matchUpdateTypes": ["patch", "minor"],
      "schedule": ["after 6am and before 9am on Monday"]
    }
  ]
}

Für Docker-Compose-Setups empfehlen wir Watchtower oder ähnliche Tools:

docker run -d 
  --name watchtower 
  -v /var/run/docker.sock:/var/run/docker.sock 
  containrrr/watchtower 
  --schedule "0 0 6 * * *" 
  n8n

Wichtiger Praxis-Tipp: Automatisierte Updates sollten immer mit automatisierten Tests für kritische Workflows kombiniert werden. Ein Update, das eure Business-Logik bricht, ist kein Gewinn.

Direkte Unterstützung bei n8n-Security

Ihr steht vor der Herausforderung, eure n8n-Instanzen abzusichern? Oder benötigt ihr Unterstützung bei der Entwicklung einer umfassenden Security-Strategie für eure Workflow-Automation? Mit über 15 Jahren Expertise in Softwarequalität und Remote Consulting helfen wir euch gerne weiter.

Kontakt: roland@nevercodealone.de

Wir unterstützen euch bei:

• Sofort-Assessment eurer n8n-Instanzen
• Implementierung von Security-Hardening-Maßnahmen
• Aufbau automatisierter Update- und Test-Pipelines
• Forensische Analyse bei Verdacht auf Kompromittierung
• Schulungen für eure Development- und DevOps-Teams

Fazit: Handelt jetzt

CVE-2025-68613 ist keine theoretische Bedrohung – mit über 103.000 exponierten Instanzen und veröffentlichtem Exploit-Code ist die Gefahr real und unmittelbar. Wenn ihr n8n einsetzt, gibt es nur eine sinnvolle Reaktion: Sofort auf Version 1.120.4, 1.121.1 oder 1.122.0 aktualisieren.

Die gute Nachricht: Die gepatchten Versionen sind verfügbar, die Schwachstelle ist dokumentiert, und ihr wisst jetzt genau, was zu tun ist. Nutzt diese Gelegenheit nicht nur zum Patchen, sondern auch zur Überprüfung eurer gesamten Security-Posture für Workflow-Automation.

Startet heute: Prüft eure n8n-Version, plant das Update, und implementiert die langfristigen Sicherheitsmaßnahmen, die wir beschrieben haben. Eure Workflows und die Daten, die sie verarbeiten, sind es wert.

Never Code Alone – Gemeinsam für sichere Automation!