Umgehung der Sandbox Ausführung beliebiger Befehle in n8n Python Code Node möglich

Cyberkriminelle können Schutzmechanismen auf Servern umgehen, die n8n hosten, und dort Systembefehle ausführen. Obwohl Angreifer sich für eine Attacke authentifizieren müssen, ist die Schwachstelle leicht auszunutzen und führt zu weitreichenden Berechtigungen.

Bei anhaltendem Fachkräftemangel und gleichzeitigem Einzug von Künstlicher Intelligenz, ist die Nachfrage nach Automatisierung in Unternehmen groß. Ein mögliches Tool für die Work­flow-Automatisierung ist „n8n“, eine Open-Source-Software mit der sich Prozesse zwischen verschiedenen Anwendungen per No-Code/Low-Code visuell verbinden und automatisieren lassen, und in die sich auch KI-Funktionen integrieren lassen. Mittlerweile ist n8n in Unter­neh­men recht weit verbreitet, weswegen die kritische Sicherheitslücke EUVD-2025-205454 / CVE-2025-68668 (CVSS-Score 9.9, EPSS-Score ^* 0.10) auf jeden Fall behoben werden sollte.

Gefährdete npm-Pakete

Kritische Sicherheitslücken in AdonisJS und jsPDF

Integrierter Schutzmechanismus hat versagt

Socradar, ein Anbieter von SOC-as-a-Service-Diensten, erläutert die Schwachstelle in einem ausführlichen Blogbeitrag. Darin schreiben die Sicherheitsforscher, dass die Sicherheitslücke als Versagen eines Schutzmechanismus klassifiziert wurde. Denn sie sei durch eine Umgehung der Sandbox im Python Code Node entstanden, der Pyodide zur Ausführung nutzt. Aus diesem Grund sei die Isolation zwischen Workflow-Code und dem zugrundeliegenden Betriebssystem nicht mehr gewährleistet und Cyberkriminelle in der Lage, die Sandbox zu verlassen und be­lie­bi­ge Betriebssystembefehle auszuführen. Betroffen von diesem Softwarefehler sind die Ver­sionen 1.0.0 bis vor 2.0.0 von n8n.

Der Python Code Node ist ein Modul in n8n, der das Ausführen von benutzerdefiniertem Pyth­on-Code ermöglicht. Die Pyodide-Technologie dahinter kann eingesetzt werden, um Python-Code wie auch -Pakete direkt in Webbrowsern und Node.js auszuführen. Ein au­then­ti­fizierter Benutzer mit der Berechtigung zum Erstellen oder Ändern von Workflows kann diese Sicher­heits­lücke in ungepatchten Systemen ausnutzen. Wie Socradar schreibt, sei die Hürde für An­greifer, sich authentifizierten Zugriff zu verschaffen, relativ niedrig. Danach hätte der Akteur dieselben Berechtigungen wie n8n-Prozess selbst, darunter Zugriff auf Dateien, Ausführen von Befehlen und Netzwerkzugriff.

State of Product Security Report von Cycode

AppSec im KI-Zeitalter wird zur Herausforderung

Patch und Workaround

Unternehmen, die n8n produktiv einsetzen, sollten zeitnah die neue Version 2.0.0 installieren. Wer das Update nicht sofort installieren kann, kann sich mit folgenden Maßnahmen schützen:

• Den Code Node deaktivieren, indem man die Umgebungsvariable „NODES_EXCLUDE“ auf „[\"n8n-nodes-base.code\"]“ setzt

• Die Python-Unterstützung im Code-Knoten deaktivieren, dafür muss die Umgebungsvariable „N8N_PYTHON_ENABLED=false“ lauten

• N8n so konfiguriern, dass es die auf dem Task-Runner basierende Python-Sandbox über die Umgebungsvariablen „N8N_RUNNERS_ENABLED“ und „N8N_NATIVE_PYTHON_RUNNER“ verwendet.

* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der ent­sprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.

Kritische React2Shell-Schwachstelle wird aktiv ausgenutzt

CVE-2025-55182 öffnet React Server Components für Linux-Backdoors

(ID:50671043)