Die Open-Source-Automatisierungsplattform n8n steht erneut im Fokus der Sicherheitsforschung. Diesmal geht es nicht um klassischen Remote-Code-Execution, sondern um eine besonders perfide Denial-of-Service-Schwachstelle mit dem Namen OverDoS. Sicherheitsforscher von Checkmarx zeigen, wie Angreifer ohne Authentifizierung ganze n8n-Instanzen gezielt mit Daten fluten und dadurch unbrauchbar machen können. Betroffen sind potenziell zehntausende öffentlich erreichbare Systeme.
CVE-2026-42236: Angriff ohne Login
Die Schwachstelle wird unter der Kennung CVE-2026-42236 geführt und erhielt einen CVSS-Score von 8.7. Ursache ist eine fehlerhafte Implementierung der sogenannten Dynamic-Client-Registration (DCR) innerhalb des MCP-OAuth-Systems von n8n.
Das Problem: Der Registrierungsendpunkt akzeptierte anonyme Anfragen und speicherte die übermittelten Daten dauerhaft in der Datenbank – praktisch ohne sinnvolle Begrenzung. Ein Angreifer konnte dadurch massenhaft große Payloads an den Server schicken und Speicher sowie Datenbankkapazität erschöpfen. Das Resultat: Die n8n-Instanz reagiert nicht mehr und verweigert legitimen Nutzern den Dienst.
Besonders kritisch: Selbst wenn Administratoren die MCP-Funktion deaktivierten, blieb der Registrierungsendpunkt weiterhin öffentlich erreichbar. Die vermeintliche Abschaltung bot also keinen echten Schutz.
Warum OverDoS mehr ist als ein gewöhnlicher DoS-Angriff
DoS-Schwachstellen gehören eigentlich zu den ältesten Problemen der IT-Sicherheit. Doch der Fall n8n zeigt, wie moderne Cloud- und KI-nahe Architekturen alte Risiken in neuer Form zurückbringen.
Laut Checkmarx erlaubte die Standardkonfiguration pro IP-Adresse zehn Requests innerhalb von fünf Minuten – bei einer maximalen Payload-Größe von 16 MByte. Ein einzelner Angreifer konnte damit bereits hunderte Megabyte an Daten in kurzer Zeit erzeugen. Mit verteilten Cloud-Systemen oder VPN-Rotation wird ein solcher Schutz praktisch wirkungslos.
Das eigentliche Problem liegt jedoch tiefer: n8n fungiert in vielen Unternehmen als zentrale Integrationsplattform zwischen APIs, Cloud-Diensten, Datenbanken und zunehmend auch KI-Workflows. Wird eine solche Plattform kompromittiert oder blockiert, betrifft das nicht nur einzelne Prozesse, sondern potenziell komplette Automatisierungsketten.
Open Redirect als zusätzlicher Risikofaktor
Neben OverDoS identifizierten die Forscher außerdem eine Open-Redirect-Schwachstelle mit der Kennung CVE-2026-42230. Diese ermöglicht es Angreifern, Nutzer über manipulierte OAuth-Prozesse auf bösartige Seiten umzuleiten.
Damit entsteht eine gefährliche Kombination:
- DoS gegen die Infrastruktur,
- Phishing gegen Benutzer,
- potenzielle Missbrauchsmöglichkeiten innerhalb von OAuth-Workflows.
Gerade in Automatisierungsplattformen ist das problematisch, da dort häufig API-Keys, OAuth-Tokens und Zugangsdaten zu kritischen Systemen hinterlegt sind.
n8n gerät zunehmend ins Visier
Die aktuelle Schwachstelle ist kein Einzelfall. Bereits in den vergangenen Monaten wurden mehrere kritische Sicherheitslücken in n8n publik, darunter:
- Stored-XSS-Schwachstellen,
- Sandbox-Escapes,
- unauthenticated RCEs,
- sowie Schwachstellen mit CVSS 10.0.
In Security-Communities wächst daher die Sorge, dass n8n aufgrund seiner Popularität und seiner zentralen Rolle in modernen Automatisierungsumgebungen zunehmend zum attraktiven Angriffsziel wird. Diskussionen auf Reddit zeigen deutlich, dass viele Administratoren die Plattform inzwischen als Hochrisiko-Komponente betrachten – insbesondere in öffentlich erreichbaren Deployments.
KI-gestützte Sicherheitsanalyse entdeckt die Lücke teilweise
Interessant ist auch die Frage, ob moderne KI-Sicherheitswerkzeuge solche Schwachstellen erkennen können. Checkmarx testete unter anderem Modelle wie Claude-Opus und Codex 5.5 gegen den betroffenen Quellcode.
Das Ergebnis fällt gemischt aus:
- Claude Opus identifizierte die Schwachstelle bei gezielter Analyse korrekt.
- Codex erkannte zwar Teile des Problems, unterschätzte aber das tatsächliche Risiko.
Das zeigt ein wachsendes Dilemma moderner AppSec-Prozesse: KI kann Sicherheitslücken schneller finden – versteht aber oft noch nicht deren reale Tragweite.
Die eigentliche Lektion: Automatisierung ohne Sicherheitsgrenzen wird gefährlich
Der Fall OverDoS verdeutlicht ein strukturelles Problem moderner Plattformen: Funktionen, die maximale Flexibilität bieten sollen, werden häufig ohne ausreichende Sicherheitskontrollen implementiert.
Dynamic-Client-Registration ist dafür ein Paradebeispiel. Die Funktion erleichtert automatisierte OAuth-Integrationen erheblich – öffnet aber gleichzeitig Angriffsflächen für:
- Resource-Exhaustion,
- Datenbankflutung,
- Social-Engineering,
- Phishing,
- und potenziell weitere Angriffe entlang der Automatisierungskette.
Gerade Plattformen wie n8n, die als „digitale Schaltzentrale“ zwischen KI, APIs und Unternehmenssystemen dienen, benötigen daher deutlich strengere Sicherheitsarchitekturen als klassische Webanwendungen.
Was Unternehmen jetzt tun sollten
Checkmarx empfiehlt dringend ein Upgrade auf die abgesicherten Versionen:
- 1.123.32 oder höher,
- 2.17.4 oder höher,
- 2.18.1 oder höher.
Falls ein sofortiges Update nicht möglich ist, sollten Unternehmen:
- öffentliche Zugriffe beschränken,
- Reverse-Proxys mit SSO einsetzen,
- IP-Allowlisting aktivieren,
- und n8n-Instanzen niemals direkt exponiert betreiben.
Denn der Fall zeigt erneut: Automatisierungsplattformen entwickeln sich zunehmend zu hochkritischen Infrastrukturkomponenten – und genau so müssen sie auch abgesichert werden.
Info: Weitere Details zu der Denial-of-Service-Schwachstelle OverDoS hat Checkmarx auf seinem Research-Blog beschrieben: OverDoS: Taking Down Over 70,000 n8n Instances
#Checkmarx
