Skip to content
← Blog
Technik

n8ns Sandbox-Escape-Fix wurde in 3 Monaten umgangen -- CVE-2026-25049

CVE-2026-25049 umgeht einen Dezember-2025-Sandbox-Fix (CVE-2025-68613). Mit 21+ CVEs im Februar 2026 sind n8ns Sicherheitsprobleme architekturbedingt, nicht patchbar.

JT
JieGou Team · · 4 Min. Lesezeit

Im Dezember 2025 patchte n8n CVE-2025-68613 (CVSS 9.9) — einen kritischen Expression-Sandbox-Escape, der Remote-Code-Execution über manipulierte Workflow-Expressions ermöglichte. Drei Monate später umgeht CVE-2026-25049 (CVSS 9.4) diesen Fix vollständig und ermöglicht erneut die Ausführung von Systembefehlen über dasselbe Expression-Evaluation-Subsystem.

Wenn ein kritischer Patch in 90 Tagen umgangen wird, verlagert sich die Frage von “Wurde er korrekt gepatcht?” zu “Kann diese Architektur überhaupt gepatcht werden?”

Der Bypass

CVE-2025-68613 war eine schwere Schwachstelle in n8ns Expression-Evaluation-Engine. Workflow-Expressions — die Template-Syntax, die Benutzer in Node-Konfigurationen einbetten — wurden durch eine JavaScript-Sandbox evaluiert, aus der man ausbrechen konnte, um beliebige Systembefehle auf dem Host-Server auszuführen. n8n patchte dies im Dezember 2025.

CVE-2026-25049 zeigt, dass der Patch eine spezifische Exploit-Technik adressierte, aber nicht die zugrunde liegende architektonische Schwäche. Forscher fanden einen neuen Weg durch dieselbe Expression-Evaluation-Engine zum selben Ergebnis: beliebige Codeausführung auf dem n8n-Server über manipulierte Workflow-Expressions. Der CVSS-Score sank von 9.9 auf 9.4 — immer noch kritisch, immer noch Remote-Code-Execution, immer noch durch dasselbe Subsystem.

Das ist das definierende Merkmal einer architektonischen Schwachstelle. Die Angriffsfläche ist nicht ein einzelner Codepfad, der geschlossen werden kann — es ist die Designentscheidung, benutzerseitig gelieferte Expressions überhaupt durch eine JavaScript-Laufzeit zu evaluieren.

Februar 2026: 21+ CVEs und steigend

CVE-2026-25049 kam nicht isoliert. Der Februar 2026 hat eine Kaskade von n8n-Sicherheitsoffenlegungen produziert, die zusammengenommen ein systemisches Versagen darstellen:

CVECVSSBeschreibung
CVE-2026-21858 “Ni8mare”10.0Unauthentifizierte RCE über Webhook-Content-Type-Confusion — ~100.000 exponierte Instanzen
CVE-2026-275779.4Expression-Sandbox-Escape — Systembefehle über manipulierte Parameter
CVE-2026-274979.4SQL-Abfragemodus-RCE — beliebige Codeausführung auf dem n8n-Server
CVE-2026-274959.4JavaScript-Task-Runner-Sandbox-Breakout — beliebige Codeausführung
CVE-2026-250499.4Expression-Injection-Bypass — umgeht den Dezember-2025-Fix
CVE-2026-1470HochZusätzlicher RCE-Vektor
CVE-2026-0863HochPython-Sandbox-Escape

Über diese Headline-Schwachstellen hinaus umfassen die Februar-Offenlegungen Stored XSS, SSO-Authentifizierungs-Bypass, SQL-Injection über MySQL/PostgreSQL/MSSQL-Connectors, unauthentifizierte Formular-Evaluation und Webhook-Fälschung.

Die Schwere veranlasste formale Advisories von Singapurs Cyber Security Agency (CSA) und dem Canadian Centre for Cyber Security (CCCS) — denselben Behörden, die Warnungen für kritische Infrastrukturbedrohungen ausgeben.

Wenn Patches umgangen werden, ist das Problem die Architektur

Der CVE-2026-25049-Bypass illustriert ein Prinzip, das Sicherheitsingenieure gut verstehen: Wenn ein Fix für eine CVSS-9.9-Schwachstelle innerhalb von 3 Monaten durch eine CVSS-9.4-Variante umgangen wird, die dasselbe Subsystem angreift, ist das Problem nicht unzureichendes Patching. Das Problem ist, dass das Design des Subsystems unsichere Codeausführungspfade zulässt, die durch punktuelle Fixes nicht umfassend eliminiert werden können.

n8ns Februar-2026-Offenlegungen bestärken diese Schlussfolgerung aus mehreren Blickwinkeln. Betrachten Sie die vier unabhängigen RCE-Vektoren, die diesen Monat entdeckt wurden:

  1. Expression-Evaluation — JavaScript-Sandbox-Escape (CVE-2026-27577, CVE-2026-25049)
  2. SQL-Abfragemodus — Beliebige Codeausführung über SQL-Engine (CVE-2026-27497)
  3. JavaScript-Task-Runner — Sandbox-Breakout (CVE-2026-27495)
  4. Webhook-Behandlung — Unauthentifizierte RCE über Content-Type-Confusion (CVE-2026-21858)

Das sind vier separate Subsysteme — Expression-Parser, SQL-Engine, Task-Runner, HTTP-Handler — die alle dieselbe Klasse von Schwachstelle aufweisen: unkontrollierte Codeausführung aus benutzerseitig gelieferten Eingaben. Das Patchen eines Subsystems schützt die anderen nicht. Ein Angreifer muss nur einen gangbaren Pfad finden, und der Februar hat bewiesen, dass es mindestens vier gibt.

JieGous Ansatz: Die Angriffsfläche eliminieren

JieGous Architektur eliminiert die Schwachstellenklassen, die n8ns 21+ CVEs produziert haben, durch Design, nicht durch Patching:

  • Verwaltetes SaaS — Keine Self-Hosted-Instanzen zu patchen, keine exponierten Webhook-Endpunkte zum Ausnutzen. Null Betreiberaufwand für Sicherheitsupdates.
  • Docker-Sandboxing + V8-Isolates — Codeausführung im CodingAgentStep läuft in Docker-Containern mit V8-Isolates, was Prozess-Level- und Runtime-Level-Isolation bietet. Es gibt keine gemeinsame JavaScript-Sandbox, aus der man ausbrechen kann.
  • Keine expression-basierte Code-Evaluation — Workflow-Definitionen verwenden strukturierte Templates und typisierte Schrittkonfigurationen. Es gibt keine Expression-Evaluation-Engine, die Benutzereingaben als ausführbaren Code interpretiert.
  • 13.320+ automatisierte Tests, 99,1% Zeilenabdeckung — Kontinuierliche Validierung über die gesamte Codebasis, einschließlich sicherheitskritischer Pfade.
  • SOC 2-Nachweise bereit — 17 Compliance-Richtlinien mit technischen Kontrollen zugeordnet. Audit-Protokollierung über 30 Aktionstypen mit unveränderlichen Aufzeichnungen.
  • Hybrid-Deployment — Für Organisationen, die Datenspeicherort benötigen, hält VPC-basierte Ausführung mit einer verwalteten Steuerungsebene sensible Daten in Ihrem Netzwerk, ohne die Self-Hosted-Patching-Last.

Migrationspfad

JieGous n8n-Import-Tool konvertiert n8n-Workflow-JSON-Exporte automatisch, mit 50+ Node-Typ-Zuordnungen und einer Sicherheitsbewertung, die verwundbare Muster in Ihren bestehenden Workflows identifiziert — einschließlich Expression-Injection-Nodes, SQL-Query-Nodes und Webhook-Trigger, die den Februar-CVEs zugeordnet sind.

  1. Exportieren Sie Ihre n8n-Workflows (Einstellungen > Alle Workflows exportieren)
  2. Hochladen des JSON in JieGous Import-Assistenten
  3. Prüfen Sie die automatisierte Konvertierung und Sicherheitsbewertung
  4. Bereitstellen auf verwalteter Infrastruktur mit null Patching-Overhead

Die Sicherheitsbewertung markiert Nodes in Ihren Workflows, die bekannten CVE-Angriffsflächen entsprechen, damit Sie die kritischsten Migrationen priorisieren können.

  1. Ihre n8n-Workflows importieren — automatisierter Import mit 50+ Node-Zuordnungen und Sicherheitsbewertung
  2. Migrationsleitfaden lesen — schrittweiser technischer Walkthrough
  3. JieGou vs. n8n vergleichen — vollständiger Feature- und Sicherheitsvergleich
n8n security migration cve

Explore more

⚖️ JieGou vs n8n 🏢 Engineering Department 📖 What is MCP?
Diesen Artikel teilen

Verwandte Artikel

Die beliebteste MCP-Bibliothek hat eine Schwachstelle mit Schweregrad 9.6. Guardrails reichen nicht aus.

CVE-2025-6514 ermoeglicht Remote-Code-Ausfuehrung in mcp-remote. Zapier hat Output-Guardrails hinzugefuegt. Aber 8.000+ unueberpruefe Konnektoren brauchen mehr als Output-Checks.

n8ns Februar 2026: 19 CVEs, 6 kritisch, und warum es Zeit ist zu migrieren

n8n hat im Februar 2026 19 Sicherheitslücken offengelegt -- darunter 6 kritische mit 3 unabhängigen RCE-Vektoren. Nationale Cybersicherheitsbehörden gaben formale Advisories heraus. Hier erfahren Sie, was passiert ist und wie Sie migrieren.

Ni8mare: n8ns 4. RCE-Vektor in einem Monat bestätigt Architekturversagen

CVE-2026-21858 'Ni8mare' ist eine CVSS 10.0 unauthentifizierte RCE in n8ns Webhook-Behandlung. Null Anmeldedaten nötig. ~100.000 Instanzen exponiert. Es ist der 4. unabhängige RCE-Vektor im Februar 2026 -- was eine gebrochene Sicherheitsarchitektur bestätigt.

Hat Ihnen dieser Artikel gefallen?

Erhalten Sie Workflow-Tipps, Produktupdates und Automatisierungsleitfäden direkt in Ihren Posteingang.

No spam. Unsubscribe anytime.

← Zurück zu allen Beiträgen