Skip to content
← Blog
Produkt

Ni8mare: n8ns 4. RCE-Vektor in einem Monat bestätigt Architekturversagen

CVE-2026-21858 'Ni8mare' ist eine CVSS 10.0 unauthentifizierte RCE in n8ns Webhook-Behandlung. Null Anmeldedaten nötig. ~100.000 Instanzen exponiert. Es ist der 4. unabhängige RCE-Vektor im Februar 2026 -- was eine gebrochene Sicherheitsarchitektur bestätigt.

JT
JieGou Team · · 6 Min. Lesezeit

Der Februar 2026 war katastrophal für n8ns Sicherheitsgeschichte. Er begann mit 8 CVEs am 6. Februar. Dann 11 weitere am 25. Februar. Jetzt macht Ni8mare (CVE-2026-21858) — eine CVSS 10.0 unauthentifizierte Remote-Code-Execution-Schwachstelle — es zu 20+ CVEs, 7 kritisch und 4 unabhängigen RCE-Vektoren in einem einzigen Monat.

Das ist kein Patching-Problem mehr. Das ist ein Architekturproblem.

Rückblick: Februars Sicherheitskollaps

6. Februar — Die erste Welle (8 CVEs)

n8ns Bulletin vom 6. Februar legte 8 Schwachstellen offen, darunter CVE-2026-25049 (CVSS 9.4) — ein Bypass des Dezember-2025-Patches für die ursprüngliche Expression-Injection-RCE. Der Bypass bewies, dass die Expression-Evaluation-Engine einen fundamentalen Designfehler hat, keinen einmaligen Bug.

25. Februar — Drei neue RCE-Vektoren (11 CVEs)

Drei Wochen später veröffentlichte n8n 11 zusätzliche Schwachstellen, darunter 3 neue kritische Probleme über vollständig unabhängige Subsysteme:

CVESchweregradAngriffsfläche
CVE-2026-27497Kritisch (9.4)SQL-Abfragemodus — beliebige Codeausführung
CVE-2026-27577Kritisch (9.4)Expression-Sandbox-Escape — Systembefehle
CVE-2026-27495Kritisch (9.4)JavaScript-Task-Runner-Sandbox-Breakout

Zusätzliche Probleme umfassten Stored XSS, SSO-Bypass, unauthentifizierte Formular-Evaluation, SQL-Injection über MySQL/PostgreSQL/MSSQL und Webhook-Fälschung.

Ni8mare: Der schlimmste bisher

CVE-2026-21858 — CVSS 10.0 — Unauthentifizierte Remote Code Execution

Ni8mare nutzt Content-Type-Confusion in n8ns Webhook-Behandlung aus, um eine vollständige Server-Übernahme zu erreichen. Was es qualitativ von den anderen drei RCE-Vektoren unterscheidet:

  • Null Anmeldedaten erforderlich. Die vorherigen RCE-Vektoren (Expression, SQL, Task-Runner) erforderten alle ein gewisses Maß an authentifiziertem Zugriff. Ni8mare braucht nichts — jeder exponierte Webhook-Endpunkt ist eine Angriffsfläche.
  • Vollständige Server-Übernahme. Nicht auf Sandbox-Escape oder Query-Injection beschränkt. Vollständige Remote-Code-Execution auf dem zugrunde liegenden Server.
  • ~100.000 Instanzen exponiert. Das ist nicht die 26.512-Zahl früherer Censys-Scans — Ni8mares Angriffsfläche umfasst jede n8n-Instanz mit Webhook-Endpunkten, was die Exposition dramatisch erweitert.
  • 4. unabhängige Angriffsfläche. Expression-Evaluation, SQL-Abfragemodus, JavaScript-Task-Runner und jetzt Webhook-Content-Type-Confusion. Vier vollständig separate Subsysteme, vier vollständig separate Wege zur RCE.

Warum Content-Type-Confusion so gefährlich ist

Webhook-Endpunkte sind per Definition internetexponiert. Sie sind dafür konzipiert, externe Anfragen zu empfangen. Wenn der Mechanismus, der diese Anfragen parst — der Content-Type-Handler — dazu gebracht werden kann, beliebigen Code auszuführen, wird das gesamte Konzept eines “Webhooks” zu einem Remote-Code-Execution-Einstiegspunkt.

Jeder n8n-Workflow, der mit einem Webhook-Trigger beginnt, ist ein potenzielles Ni8mare-Ziel. Keine Authentifizierung. Keine Exploitation-Kette. Nur eine einzelne fehlerhafte Anfrage.

4 unabhängige RCE-Vektoren = gebrochene Architektur

Einen RCE in einem Produkt zu finden ist ein ernsthafter Sicherheitsvorfall. Zwei zu finden ist ein Muster. Drei in einem Monat zu finden ist alarmierend.

Vier unabhängige RCE-Vektoren in einem einzigen Monat zu finden — über vier separate Subsysteme hinweg — ist die Bestätigung, dass die Sicherheitsarchitektur fundamental gebrochen ist.

RCE-VektorSubsystemCVEAuth erforderlich
Expression-Sandbox-EscapeExpression-Evaluation-EngineCVE-2026-27577Ja
SQL-Abfragemodus-RCESQL-Ausführungs-EngineCVE-2026-27497Ja
JS-Task-Runner-BreakoutJavaScript-SandboxCVE-2026-27495Ja
Webhook-Content-Type-ConfusionWebhook-BehandlungCVE-2026-21858Nein

Jeder dieser Vektoren repräsentiert eine eigenständige Angriffsfläche. Das Patchen eines schützt nicht vor den anderen. Ein Angreifer muss nur einen finden — und bei Ni8mare braucht er nicht einmal Anmeldedaten.

Nationale Behörden-Advisories

Die Schwere von n8ns Februar-Offenlegungen löste formale Advisories von nationalen Cybersicherheitsbehörden aus:

  • Singapur CSA (Cyber Security Agency of Singapore) — Gab Advisory für n8n-Schwachstellen heraus
  • Kanadisches CCCS (Canadian Centre for Cyber Security) — Gab Advisory für n8n-Schwachstellen heraus

Das sind dieselben Behörden, die Advisories für kritische Infrastruktur-Schwachstellen ausgeben. Wenn nationale Regierungen Organisationen vor Ihrer Automatisierungsplattform warnen, geht die Dringlichkeit über routinemäßiges Patching hinaus.

Warum Patching nicht reicht

Das Muster im Februar erzählt eine definitive Geschichte:

  • 6. Februar: 8 CVEs — einschließlich eines Bypasses des Dezember-2025-Patches
  • 25. Februar: 11 weitere CVEs — 3 neue kritische über separate Subsysteme
  • Ni8mare: CVSS 10.0 — unauthentifizierte RCE über Webhooks, 4. unabhängiger Vektor

Selbst wenn Sie heute auf die neueste Version patchen:

  1. Der Dezember-2025-Patch wurde im Februar umgangen. Patch → Bypass → Patch ist keine nachhaltige Sicherheitsstrategie.
  2. Vier separate Subsysteme hatten unabhängige RCE-Schwachstellen. Das deutet auf systemische Probleme hin, wie n8n Sicherheit über seine Codebasis hinweg angeht.
  3. Ni8mare erfordert null Authentifizierung. Jeder Webhook-aktivierte Workflow war eine offene Tür. Wenn Ihre Instanz vor dem Patching exponiert war, könnte eine Kompromittierung bereits erfolgt sein.
  4. Mindest-sichere Version ist v2.5.2+. Wenn Sie v2.2.2 oder älter betreiben, sind Sie immer noch anfällig für Ni8mare, selbst mit Patches für die anderen Schwachstellen.

Der Migrationspfad

JieGous n8n-Import-Assistent konvertiert Ihre n8n-Workflow-JSON-Exporte automatisch in JieGou-Workflows — und enthält jetzt eine Sicherheitsbewertung, die Ni8mare-anfällige Webhook-Nodes identifiziert:

  1. Exportieren Sie Ihre n8n-Workflows (Einstellungen → Alle Workflows exportieren)
  2. Hochladen des JSON in JieGous Import-Assistenten
  3. Prüfen der Konvertierung — 50+ Node-Typ-Zuordnungen werden automatisch behandelt, plus eine Sicherheitsbewertung, die verwundbare Nodes hervorhebt (Webhook-Trigger, Code-Nodes, SQL-Nodes, LangChain-Agenten)
  4. Bereitstellen mit verwaltetem Hosting, null Patching und SOC 2-bereiter Compliance-Infrastruktur

Die Sicherheitsbewertung scannt Ihren Workflow auf Nodes, die bekannten CVEs zugeordnet sind:

  • Webhook-Trigger → CVE-2026-21858 (Ni8mare) — kritisch
  • Code / Function-Nodes → CVE-2026-27577 (Expression-Sandbox-Escape) — hoch
  • PostgreSQL / MySQL / MSSQL-Nodes → CVE-2026-27497 (SQL-RCE) — hoch
  • LangChain Agent / Chain-Nodes → CVE-2026-27495 (Task-Runner-Breakout) — mittel
  • Formular-Trigger → CVE-2026-27493 (Unauthentifizierte Formular-Eval) — mittel

Aktualisierte CVE-Zusammenfassung

MetrikAnzahl
Gesamte CVEs im Februar 202620+
Kritischer Schweregrad (CVSS 9.4-10.0)7
Unabhängige RCE-Vektoren4
Unauthentifizierte RCE (Ni8mare)1 (CVSS 10.0)
Nationale Behörden-Advisories2 (Singapur CSA, Kanadisches CCCS)
Exponierte Instanzen~100.000
Mindest-sichere Versionv2.5.2+

Sicherheitsvergleich

DimensionJieGoun8n
CVEs (Feb. 2026)020+ gesamt, 7 kritisch
RCE-VektorenN/A4 unabhängig
Unauthentifizierte RCEN/ACVE-2026-21858 Ni8mare
Regierungs-AdvisoriesNicht benötigtSingapur CSA, Kanadisches CCCS
Exponierte InstanzenN/A (Cloud + VPC)~100.000
Testsuite11.875 Tests, 99,18% AbdeckungOpen-Source; Community-Tests
SOC 2Tech komplett, 17 Richtlinien, Audit ausstehendNicht verfügbar
Verschlüsselung im RuhezustandAES-256-GCM (BYOK)Nicht enthalten (Community)
RBAC6 Rollen, 20 BerechtigungenGrundlegend (Admin / Editor)
Audit-Protokollierung30 Aktionstypen, unveränderlichNicht enthalten (Community)

Migration starten

20+ Schwachstellen. Vier unabhängige Remote-Code-Execution-Angriffsflächen. Eine, die null Authentifizierung erfordert. Nationale Cybersicherheitsbehörden, die formale Advisories ausgeben.

Wenn Sie n8n betreiben — besonders Self-Hosted — hat sich das Risikoprofil mit Ni8mare fundamental verändert.

  1. Ihre n8n-Workflows importieren — automatisierter Import mit 50+ Node-Zuordnungen und Sicherheitsbewertung
  2. Migrationsleitfaden lesen — schrittweiser technischer Walkthrough
  3. JieGou vs. n8n vergleichen — vollständiger Feature- und Sicherheitsvergleich
n8n security CVE Ni8mare RCE migration enterprise compliance webhook

Explore more

⚖️ JieGou vs n8n ⚙️ Enterprise Plan 📖 AI Governance ⚙️ Platform Overview
Diesen Artikel teilen

Verwandte Artikel

n8ns Februar 2026: 19 CVEs, 6 kritisch, und warum es Zeit ist zu migrieren

n8n hat im Februar 2026 19 Sicherheitslücken offengelegt -- darunter 6 kritische mit 3 unabhängigen RCE-Vektoren. Nationale Cybersicherheitsbehörden gaben formale Advisories heraus. Hier erfahren Sie, was passiert ist und wie Sie migrieren.

Warum wir Hybrid-Deployment statt Self-Hosted gebaut haben -- und was n8ns 26.512 exponierte Instanzen uns lehren

Die n8n-Sicherheitskrise hat 26.512 verwundbare Instanzen offengelegt. Hier erfahren Sie, warum Self-Hosted nicht Self-Vulnerable bedeuten muss und wie JieGous Hybridmodell einen besseren Weg bietet.

80% Ihrer Belegschaft nutzt nicht genehmigte AI. Das kostet es Sie.

Shadow AI ist nicht hypothetisch. 80%+ nicht genehmigte Nutzung, 33% teilen proprietäre Daten, 650.000$+ pro Breach. Die Krise ist quantifiziert. So verhindert Governance sie.

Hat Ihnen dieser Artikel gefallen?

Erhalten Sie Workflow-Tipps, Produktupdates und Automatisierungsleitfäden direkt in Ihren Posteingang.

No spam. Unsubscribe anytime.

← Zurück zu allen Beiträgen