Skip to content
← Blog
Produkt

n8ns Februar 2026: 19 CVEs, 6 kritisch, und warum es Zeit ist zu migrieren

n8n hat im Februar 2026 19 Sicherheitslücken offengelegt -- darunter 6 kritische mit 3 unabhängigen RCE-Vektoren. Nationale Cybersicherheitsbehörden gaben formale Advisories heraus. Hier erfahren Sie, was passiert ist und wie Sie migrieren.

JT
JieGou Team · · 5 Min. Lesezeit

Im Februar 2026 veröffentlichte n8n zwei Sicherheitsbulletins, die zusammen 19 Schwachstellen offenlegten — darunter 6 kritische (CVSS 9.4+) und 3 unabhängige Remote-Code-Execution-Angriffsflächen. Nationale Cybersicherheitsbehörden — Singapurs CSA und Kanadas CCCS — gaben formale Advisories heraus.

Das ist kein Patching-Problem. Es ist ein strukturelles Architekturproblem über mehrere n8n-Subsysteme hinweg.

6. Februar: Die erste Welle — 8 CVEs

Der Monat begann mit n8ns Bulletin vom 6. Februar, das 8 Schwachstellen offenlegte, darunter die bereits bekannte Expression-Evaluation-RCE und eine kritische neue Entwicklung: CVE-2026-25049 (CVSS 9.4), die den Dezember-2025-Fix für die ursprüngliche CVSS-10.0-Expression-Injection-RCE umging.

Der Bypass bewies, dass dies kein einmaliger Bug war — es war ein Beleg für einen fundamentalen Designfehler in n8ns Expression-Evaluation-Engine. Punktuelle Fixes adressieren spezifische Angriffsvektoren, lassen aber die zugrunde liegende Architektur anfällig für neue Ausnutzungstechniken.

25. Februar: 11 weitere CVEs — 3 kritisch

Drei Wochen später veröffentlichte n8n ein zweites Bulletin mit 11 zusätzlichen Schwachstellen, darunter 3 neue kritische Probleme:

CVESchweregradBeschreibung
CVE-2026-27497Kritisch (9.4)SQL-Abfragemodus erlaubt beliebige Codeausführung auf dem n8n-Server
CVE-2026-27577Kritisch (9.4)Expression-Sandbox-Escape — Systembefehle über manipulierte Parameter
CVE-2026-27495Kritisch (9.4)JavaScript-Task-Runner-Sandbox-Breakout — beliebige Codeausführung
CVE-2026-27578HochStored XSS
CVE-2026-27493HochUnauthentifizierte Expression-Evaluation über Form-Node
+ 6 weitereHoch/MittelChat-Auth-Bypass, SSO-Bypass, SQL-Injection (MySQL/PostgreSQL/MSSQL), Webhook-Fälschung

Drei unabhängige RCE-Vektoren in einem Monat

Das Bulletin vom 25. Februar ist besonders alarmierend, weil es drei vollständig unabhängige Wege zur Remote-Code-Execution offenbart:

  1. Expression-Evaluation — Die Sandbox, die zur sicheren Auswertung von Benutzer-Expressions konzipiert ist, kann verlassen werden, was beliebige Systembefehle erlaubt. Dies ist dasselbe Subsystem, das die Dezember-2025-RCE und den Februar-Bypass produziert hat — jetzt mit einer neuen Escape-Technik.

  2. SQL-Abfragemodus — Die SQL-Ausführungs-Engine erlaubt beliebige Codeausführung auf dem n8n-Server. Dies ist ein völlig separates Subsystem von der Expression-Evaluation.

  3. JavaScript-Task-Runner — Aus der sandboxed JavaScript-Ausführungsumgebung kann ausgebrochen werden, was beliebige Codeausführung erlaubt. Wieder ein vollständig separates Subsystem.

Jeder dieser Vektoren repräsentiert eine eigenständige Angriffsfläche in einem anderen Teil von n8ns Architektur. Das Patchen eines schützt nicht vor den anderen. Ein Angreifer muss nur einen finden.

Nationale Cybersicherheitsbehörden reagieren

Die Schwere von n8ns Februar-Offenlegungen löste formale Advisories von nationalen Cybersicherheitsbehörden aus:

  • Singapur CSA (Cyber Security Agency of Singapore) — Gab Advisory für n8n-Schwachstellen heraus
  • Kanadisches CCCS (Canadian Centre for Cyber Security) — Gab Advisory für n8n-Schwachstellen heraus

Wenn nationale Regierungen Warnungen über Ihre Automatisierungsplattform ausgeben, ist die Dringlichkeit klar. Das sind dieselben Behörden, die Advisories für kritische Infrastruktur-Schwachstellen ausgeben.

Warum Patching nicht reicht

Das Muster im Februar erzählt eine klare Geschichte:

  • 6. Februar: 8 CVEs einschließlich eines Bypasses des Dezember-2025-Patches
  • 25. Februar: 11 weitere CVEs über drei separate Subsysteme
  • Zusammen: 19 CVEs, 6 kritisch, 3 unabhängige RCE-Vektoren

Dies ist kein Fall, in dem das Einspielen des neuesten Patches das Risiko behebt. Die Schwachstellen umfassen:

  • Expression-Evaluation-Engine
  • SQL-Abfrage-Ausführungs-Engine
  • JavaScript-Task-Runner-Sandbox
  • Authentifizierungs- und SSO-Systeme
  • Formular-Evaluations-Endpunkte
  • Datenbank-Connectors (MySQL, PostgreSQL, MSSQL)
  • Webhook-Behandlung

Die Breite deutet auf systemische Architektur-Level-Sicherheitsprobleme hin, nicht auf isolierte Bugs.

Die CVE-Zusammenfassung für Februar 2026

MetrikAnzahl
Gesamte CVEs im Februar 202619
Kritischer Schweregrad (CVSS 9.4+)6
Unabhängige RCE-Vektoren3
Nationale Behörden-Advisories2 (Singapur CSA, Kanadisches CCCS)
Patch-Runden im Februar2 (6. Feb + 25. Feb)
Exponierte Instanzen (Censys)26.512

Patches verfügbar: n8n 2.10.1, 2.9.3, 1.123.22. Alle Self-Hosted-Instanzen sollten sofort upgraden.

Der Migrationspfad

JieGous n8n-Import-Assistent konvertiert Ihre n8n-Workflow-JSON-Exporte automatisch in JieGou-Workflows:

  1. Exportieren Sie Ihre n8n-Workflows (Einstellungen → Alle Workflows exportieren)
  2. Hochladen des JSON in JieGous Import-Assistenten
  3. Prüfen der Konvertierung — 47+ Node-Typ-Zuordnungen werden automatisch behandelt
  4. Bereitstellen mit verwaltetem Hosting, null Patching und SOC 2-bereiter Compliance-Infrastruktur

Das Import-Tool ordnet n8n-Nodes JieGou-Schritten zu:

  • Set / Code / Function → LLM-Schritt
  • IF / Switch / Filter → Bedingungs-Schritt
  • SplitInBatches → Schleifen-Schritt
  • HTTP Request → LLM + MCP-Tool
  • Slack / Gmail / GitHub → LLM + MCP-Server
  • Webhook → Webhook-Trigger

Sicherheitsvergleich

DimensionJieGoun8n
CVEs (Feb. 2026)019 gesamt, 6 kritisch
RCE-VektorenN/A3 unabhängig
Regierungs-AdvisoriesNicht benötigtSingapur CSA, Kanadisches CCCS
Exponierte InstanzenN/A (Cloud + VPC)26.512
SOC 2Tech komplett, 15 Richtlinien, Audit ausstehendNicht verfügbar
Verschlüsselung im RuhezustandAES-256-GCM (BYOK)Nicht enthalten (Community)
RBAC6 Rollen, 20 BerechtigungenGrundlegend (Admin / Editor)
Audit-Protokollierung30 Aktionstypen, unveränderlichNicht enthalten (Community)
GDPRDatenexport + Lösch-EndpunkteNicht verfügbar

Migration starten

19 Schwachstellen in einem Monat. Drei unabhängige Remote-Code-Execution-Angriffsflächen. Nationale Cybersicherheitsbehörden, die formale Advisories ausgeben.

Wenn Sie n8n betreiben — besonders Self-Hosted — hat sich das Risikoprofil fundamental verändert.

  1. Ihre n8n-Workflows importieren — automatisierter Import mit 47+ Node-Zuordnungen
  2. Migrationsleitfaden lesen — schrittweiser technischer Walkthrough
  3. JieGou vs. n8n vergleichen — vollständiger Feature- und Sicherheitsvergleich
n8n security CVE migration RCE enterprise compliance

Explore more

⚖️ JieGou vs n8n ⚙️ Enterprise Plan 📖 AI Governance ⚙️ Platform Overview
Diesen Artikel teilen

Verwandte Artikel

Ni8mare: n8ns 4. RCE-Vektor in einem Monat bestätigt Architekturversagen

CVE-2026-21858 'Ni8mare' ist eine CVSS 10.0 unauthentifizierte RCE in n8ns Webhook-Behandlung. Null Anmeldedaten nötig. ~100.000 Instanzen exponiert. Es ist der 4. unabhängige RCE-Vektor im Februar 2026 -- was eine gebrochene Sicherheitsarchitektur bestätigt.

Warum wir Hybrid-Deployment statt Self-Hosted gebaut haben -- und was n8ns 26.512 exponierte Instanzen uns lehren

Die n8n-Sicherheitskrise hat 26.512 verwundbare Instanzen offengelegt. Hier erfahren Sie, warum Self-Hosted nicht Self-Vulnerable bedeuten muss und wie JieGous Hybridmodell einen besseren Weg bietet.

80% Ihrer Belegschaft nutzt nicht genehmigte AI. Das kostet es Sie.

Shadow AI ist nicht hypothetisch. 80%+ nicht genehmigte Nutzung, 33% teilen proprietäre Daten, 650.000$+ pro Breach. Die Krise ist quantifiziert. So verhindert Governance sie.

Hat Ihnen dieser Artikel gefallen?

Erhalten Sie Workflow-Tipps, Produktupdates und Automatisierungsleitfäden direkt in Ihren Posteingang.

No spam. Unsubscribe anytime.

← Zurück zu allen Beiträgen