Kritisch ist keine der jüngst gefixten Lücken in der Automatisierungslösung n8n. Dennoch betont eine Warnmeldung des BSI die hohe Update-Relevanz.
Über seinen Warn- und Informationsdienst hat das CERT-Bund des BSI einen aktuellen Sicherheitshinweis zu n8n, einer quelloffenen Plattform zur Workflow-Automatisierung, veröffentlicht. Es verweist darin auf n8n-Advisories zu insgesamt 14 Schwachstellen, die in frisch veröffentlichten Versionen geschlossen wurden. Wer n8n selbst hostet, dürfte die Advisories schon vorab als Service per E-Mail erhalten haben.
In seinem Sicherheitshinweis bewertet das CERT die von den Schwachstellen ausgehende Gefahr in ihrer Gesamtheit als „kritisch“ mit dem CVSS-Base-Score 9.9 von 10.0 . Obwohl in den Einzelbeschreibungen der Lücken bei GitHub maximal Scores von 8.9 (“High“) auftauchen, sollte der CERT-Hinweis ausreichend Anlass bieten, verwundbare n8n-Instanzen auf den neuesten Stand zu bringen. Hinweise auf aktive Angriffe in freier Wildbahn umfasst die Veröffentlichung nicht.
Je nach Schwachstelle können die verwundbaren Versionen variieren. Deshalb ist es ratsam, direkt auf die aktuellsten, abgesicherten Releases 2.29, 2.30.2 (Pre-Release) beziehungsweise 1.123.64 umzusteigen.
Sieben Advisories befassen sich mit Lücken mit „High“, die übrigen mit „Moderate“-Einstufungen. Mit 8.9 am höchsten bewertet wurden dabei
Die übrigen „High“-Lücken umfassen Fehler im AI-Agent-Feature, zwei Cross-Site-Scripting-Angriffsmöglichkeiten (1 / 2) sowie eine Rechteausweitung auf Basis fehlerbehafteten Enterprise Single Sign-Ons (SSO).
Die CERT-Bund-Veröffentlichung beziehungsweise die Advisory-Übersicht im n8n-Repository liefern bei Bedarf einen Gesamtüberblick.
(ovw)
| # | Наименование новости | Тональность | Информативность | Дата публикации |
|---|---|---|---|---|
| 1 | CERT betont Wichtigkeit: Security-Patch für Geoinformationssystem-Plattform | 0 | 5 | 08-07-2026 |
| 2 | Lückenflut durch KI-Funde – Software-Hersteller schrauben an Patch-Strategien | 0 | 5 | 10-07-2026 |
| 3 | Foxit-Entwickler schließen Schwachstellen in PDF Reader und Editor | 0 | 5 | 08-07-2026 |
| 4 | Rocky Linux 8 Autotrace Moderate Buffer Overflow Fix RLSA-2023-3067 | 0 | 5 | 28-06-2026 |
| 5 | Chrome-Browser & ChromeOS LTS : Updates schließen teils kritische Lücken | 0 | 5 | 09-07-2026 |
| 6 | openSUSE nilfs-utils Moderate CVE-2026-55392 Threat Fix 2026-0228-1 | 0 | 5 | 03-07-2026 |
| 7 | Rocky Linux 8 RLSA-2026-32992 Python3.12 Urllib3 Important DoS Issue | 0 | 5 | 01-07-2026 |
| 8 | В Новгородской области объявили опасность беспилотников | 0 | 5 | 08-07-2026 |
| 9 | В Чечне отменили беспилотную опасность | 0 | 5 | 01-07-2026 |
| 10 | ФАС не выдавала новых предупреждений Ozon и Wildberries | 0 | 0 | 14-03-2025 |