{"id":16436,"date":"2026-04-22T16:55:26","date_gmt":"2026-04-22T16:55:26","guid":{"rendered":"https:\/\/byte-bucket.com\/2026\/04\/22\/n8n-schliesst-kritische-sicherheitsluecken-mit-neuen-versionen-und-dringt-auf-sofortige-updates\/"},"modified":"2026-04-22T16:55:26","modified_gmt":"2026-04-22T16:55:26","slug":"n8n-schliesst-kritische-sicherheitsluecken-mit-neuen-versionen-und-dringt-auf-sofortige-updates","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=16436","title":{"rendered":"n8n schlie\u00dft kritische Sicherheitsl\u00fccken mit neuen Versionen und dringt auf sofortige Updates"},"content":{"rendered":"<p>Das n8n-Team hat auf den angek\u00fcndigten Release reagiert und drei neue Versionen der Low-Code-Plattform ver\u00f6ffentlicht, die sechs zuvor identifizierte Sicherheitsl\u00fccken schlie\u00dfen. Zwei dieser L\u00fccken weisen kritische Schwachstellen auf, die theoretisch Remote Code Execution (RCE) erm\u00f6glichen w\u00fcrden. Obwohl diese beiden RCE-L\u00fccken nicht ohne Authentifizierung ausgenutzt werden k\u00f6nnen, betonen die Entwickler die Dringlichkeit f\u00fcr Administratoren gehosteter n8n-Instanzen, die Patches umgehend einzuplanen und anzuwenden. Die betroffenen Versionen sind 1.123.33 (Versionsbaum 1.x), 2.17.5 (Stable) und 2.18.1 (Beta).<\/p>\n<p>Die spezifischen L\u00fccken, die durch diese Updates adressiert werden, lassen sich wie folgt erl\u00e4utern: Zwei Schwachstellen, XML Node Prototype Pollution to RCE (GHSA-hqr4-h3xv-9m3r) und Prototype Pollution in XML Webhook Body Parser Leads to RCE (GHSA-q5f4-99jv-pgg5), betreffen das Handling von XML-Daten und k\u00f6nnten zu Remote Code Execution f\u00fchren. Diese kritischen L\u00fccken wurden mit hoher Priorit\u00e4t geschlossen, da sie theoretische M\u00f6glichkeiten f\u00fcr Angriffe er\u00f6ffnen w\u00fcrden, auch wenn derzeit keine Ausnutzungsm\u00f6glichkeit ohne Authentifizierung besteht. Zus\u00e4tzlich wurden vier weitere Schwachstellen gepatcht: Eine Berechtigungskontext-Umgehung (Credential Authorization Bypass) in dynamischen Node-Parametern, die zu einem Foreign API Key Replay f\u00fchren konnte (GHSA-r4v6-9fqc-w5jr), ein Sandbox-Escape im Python Task Runner (GHSA-44v6-jhgm-p3m4), ein Cross-Site Scripting (XSS) Problem via MCP OAuth Client (GHSA-537j-gqpc-p7fq) und ein Denial of Service durch unauthentifizierte Nutzerregistrierung im MCP Client (GHSA-44v6-jhgm-p3m4). Alle genannten Schwachstellen wurden mit den neuen Versionen geschlossen, um die Sicherheit der Plattform zu st\u00e4rken und potenzielle Angriffe abzuwehren.<\/p>\n<p>n8n etabliert sich zunehmend als wichtiges Werkzeug in Bereichen wie Prozessautomatisierung und Security Operations. Die j\u00fcngsten Sicherheitsvorf\u00e4lle unterstreichen die Bedeutung kontinuierlicher Sicherheits\u00fcberpr\u00fcfungen und Updates, um das System vor Exploits und Bedrohungen zu sch\u00fctzen. Die prompte Reaktion des n8n-Teams auf die aufgedeckten Schwachstellen zeigt das Engagement f\u00fcr eine sichere und zuverl\u00e4ssige Plattform.<\/p>\n<p>Schlagw\u00f6rter: RCE + GHSA-44v6-jhgm-p3m4 + MCP OAuth<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das n8n-Team hat auf den angek\u00fcndigten Release reagiert und drei neue Versionen der Low-Code-Plattform ver\u00f6ffentlicht, die sechs zuvor identifizierte Sicherheitsl\u00fccken schlie\u00dfen. Zwei dieser L\u00fccken weisen kritische Schwachstellen auf, die theoretisch Remote Code Execution (RCE) erm\u00f6glichen w\u00fcrden. Obwohl diese beiden RCE-L\u00fccken nicht ohne Authentifizierung ausgenutzt werden k\u00f6nnen, betonen die Entwickler die&#46;&#46;&#46;<\/p>\n","protected":false},"author":4,"featured_media":16435,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-16436","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/16436","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=16436"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/16436\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/16435"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=16436"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=16436"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=16436"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}