Die beliebte Low-Code-Automatisierungsplattform n8n hat am 22. April 2026 gleich drei Sicherheitsupdates veröffentlicht, die insgesamt sechs Schwachstellen beheben. Zwei davon sind als kritisch eingestuft und ermöglichen Remote Code Execution, also die Ausführung von beliebigem Schadcode aus der Ferne. Wenn du n8n selbst hostest, solltest du jetzt handeln.
Inhaltsverzeichnis
n8n Hosting auf deinem VPS
Betreib n8n auf deinem eigenen dogado VPS. Die Software ist nicht vorinstalliert, aber einfach selbst einzurichten – und gibt dir volle Kontrolle über deine Workflows, deine Daten und deine Kosten.
Was ist n8n und warum betrifft dich das?
n8n ist ein Open-Source-Werkzeug zur Workflow-Automatisierung, das sich besonders bei technisch versierten Anwendern, Freelancern und KMUs großer Beliebtheit erfreut. Die Plattform erlaubt es, über eine visuelle Oberfläche komplexe Automatisierungen zwischen verschiedenen Diensten und APIs aufzubauen, ohne tiefgreifende Programmierkenntnisse zu benötigen. Viele Nutzer betreiben n8n auf eigenen Servern oder VPS-Instanzen, um die volle Kontrolle über ihre Daten und Workflows zu behalten.
Genau diese Self-Hosting-Variante ist nun betroffen. Während die Cloud-Version von n8n zentral gepatcht wird, liegt die Verantwortung für Updates bei selbst gehosteten Installationen vollständig beim Administrator. Und genau hier entsteht das Risiko: Wer nicht zeitnah aktualisiert, betreibt eine Plattform mit bekannten, öffentlich dokumentierten Angriffsvektoren.
Die Schwachstellen im Detail
Die sechs behobenen Sicherheitslücken betreffen unterschiedliche Komponenten von n8n und variieren in ihrer Schwere. Keine der Lücken hat zum Zeitpunkt der Veröffentlichung eine offizielle CVE-ID erhalten, sie lassen sich jedoch über ihre GitHub Security Advisory Identifikatoren (GHSA) eindeutig zuordnen.
Zwei kritische Lücken mit Remote Code Execution
Die gravierendsten Schwachstellen betreffen den XML-Parser von n8n. Über sogenannte Prototype Pollution lässt sich die Verarbeitungslogik von JavaScript-Objekten manipulieren, was im schlimmsten Fall zur Ausführung von beliebigem Code auf dem Server führt. Konkret sind zwei Varianten betroffen: eine im XML-Node selbst (GHSA-hqr4-h3xv-9m3r) und eine im XML Webhook Body Parser (GHSA-q5f4-99jv-pgg5). Beide Schwachstellen sind als kritisch klassifiziert.
Ein wichtiger Aspekt: Beide RCE-Lücken setzen eine Authentifizierung voraus. Ein Angreifer muss also zunächst über gültige Zugangsdaten verfügen oder sich anderweitig Zugang zur n8n-Instanz verschaffen. Das reduziert die unmittelbare Angriffsfläche, entschärft die Situation aber keineswegs. Gerade in Umgebungen mit mehreren Nutzern oder bei schwachen Passwörtern bleibt das Risiko erheblich.
Vier weitere Schwachstellen mit hohem Risiko
Neben den beiden kritischen Lücken wurden vier weitere Schwachstellen mit der Einstufung „hoch" behoben. Diese betreffen unterschiedliche Angriffsvektoren und Komponenten:
| Schwachstelle | GHSA-ID | Schwere | Angriffsvektor |
|---|---|---|---|
| Credential Authorization Bypass über dynamic-node-parameters | GHSA-r4v6-9fqc-w5jr | Hoch | Erlaubt das Abgreifen und Wiederverwenden fremder API-Schlüssel |
| Python Task Runner Sandbox Escape | GHSA-44v6-jhgm-p3m4 | Hoch | Ausbruch aus der Sandbox-Umgebung des Python-Runners |
| XSS via MCP OAuth Client | GHSA-537j-gqpc-p7fq | Hoch | Cross-Site-Scripting über die OAuth-Implementierung des MCP-Clients |
| Unauthenticated Denial of Service via MCP Client Registration | GHSA-49m9-pgww-9vq6 | Hoch | Dienstverweigerung ohne Authentifizierung über die MCP-Registrierung |
Besonders brisant ist der Credential Authorization Bypass: Er ermöglicht es einem authentifizierten Nutzer, API-Schlüssel anderer Nutzer derselben Instanz abzugreifen und für eigene Zwecke einzusetzen. In Teamumgebungen mit geteilter n8n-Installation stellt das ein erhebliches Sicherheitsrisiko dar. Die Denial-of-Service-Schwachstelle über die MCP Client Registration ist zudem ohne jegliche Authentifizierung ausnutzbar und kann deine n8n-Instanz komplett lahmlegen.
Welche Versionen sind betroffen und welche Patches stehen bereit?
Das n8n-Team hat Patches für alle drei aktiv unterstützten Versionsbäume bereitgestellt. Abhängig davon, welchen Release-Kanal du nutzt, musst du auf die entsprechende Version aktualisieren:
| Versionsbaum | Gepatchte Version |
|---|---|
| 1.x (Legacy) | 1.123.33 |
| 2.x Stable | 2.17.5 |
| 2.x Beta | 2.18.1 |
Prüfe über die Kommandozeile oder das Admin-Panel deiner n8n-Installation, welche Version aktuell läuft, und aktualisiere umgehend. Bei Docker-basierten Installationen genügt in der Regel ein Pull des neuesten Images und ein Neustart des Containers. Bei npm-Installationen ein entsprechendes Update über den Paketmanager.
n8n und wiederkehrende Sicherheitsprobleme
Die aktuellen Schwachstellen reihen sich in eine besorgniserregende Entwicklung ein. n8n wird seit Monaten wiederholt von schwerwiegenden Sicherheitslücken betroffen, die teilweise auch aktiv von Angreifern ausgenutzt werden. Das liegt zum Teil in der Architektur begründet: Eine Plattform, die per Design beliebige externe Dienste anbindet, Code ausführt und Webhooks entgegennimmt, bietet naturgemäß eine breite Angriffsfläche.
Für dich als Administrator bedeutet das: n8n erfordert ein aktives Patch-Management. Du solltest die GitHub-Security-Advisories und die offiziellen Kommunikationskanäle des n8n-Teams im Blick behalten. Zusätzlich empfiehlt es sich, n8n-Instanzen nicht ungeschützt aus dem Internet erreichbar zu machen. Ein vorgeschalteter Reverse Proxy mit Authentifizierung, eine Firewall-Beschränkung auf bekannte IP-Bereiche und die konsequente Nutzung starker Passwörter sind Mindestmaßnahmen.
Self-Hosting absichern: Was du über die Updates hinaus tun solltest
Das reine Einspielen der Patches behebt die bekannten Schwachstellen, schützt aber nicht vor zukünftigen. Wenn du n8n produktiv einsetzt, lohnt sich ein grundlegender Sicherheits-Check deiner Hosting-Umgebung.
Stelle sicher, dass dein Server-Betriebssystem aktuell ist und automatische Sicherheitsupdates aktiviert sind. Isoliere n8n möglichst in einem eigenen Container oder einer eigenen virtuellen Maschine, damit ein kompromittierter n8n-Prozess nicht direkt auf andere Dienste oder Daten zugreifen kann. Aktiviere Logging und Monitoring, um ungewöhnliche Zugriffe frühzeitig zu erkennen. Und überprüfe regelmäßig, welche Credentials und API-Schlüssel in deiner n8n-Instanz hinterlegt sind, insbesondere nach dem Bekanntwerden des Credential-Authorization-Bypasses.
Wenn du n8n auf einem VPS betreibst, hängt die Sicherheit deiner Automatisierungsplattform unmittelbar von der Qualität und Konfiguration deiner Server-Infrastruktur ab. Die VPS-Lösungen von dogado bieten dir eine stabile Grundlage mit voller Root-Kontrolle, sodass du Firewall-Regeln, Reverse Proxies und Container-Isolierung nach deinen Anforderungen konfigurieren kannst. Gerade für sicherheitskritische Anwendungen wie n8n ist eine performante und zuverlässige Serverumgebung kein optionaler Komfort, sondern eine Notwendigkeit.
Automatisierung braucht ein solides Fundament
Workflow-Automatisierung mit Tools wie n8n spart Zeit und reduziert manuelle Fehler, setzt aber voraus, dass die darunterliegende Infrastruktur verlässlich funktioniert. Das betrifft nicht nur den Server selbst, sondern auch die Domains, über die Webhooks erreichbar sind, die E-Mail-Adressen, die für Benachrichtigungen und Authentifizierung genutzt werden, und das Webhosting, das gegebenenfalls als Endpunkt für automatisierte Prozesse dient.
Bei dogado findest du für diese Anforderungen aufeinander abgestimmte Produkte. Ob du eine Domain für deine n8n-Instanz registrieren, professionelle E-Mail-Adressen für deine automatisierten Benachrichtigungen einrichten oder einen dedizierten VPS für dein Self-Hosting aufsetzen möchtest, die einzelnen Services lassen sich gezielt kombinieren, ohne dass du dich mit unnötiger Komplexität auseinandersetzen musst. So kannst du dich auf das konzentrieren, was zählt: sichere und funktionierende Automatisierungen.
VPS von dogado - gehostet in Deutschland
Behalte die Kontrolle über deinen vServer/VPS und steuere deine Online-Präsenz souverän. Profitiere von Hochgeschwindigkeits-NVME-SSDs, die bis zu 6-mal schneller sind als herkömmliche.
WhatsApp
