Krytyczna luka SQL Injection w Windmill CE i EE umożliwia wykonanie zdalnego kodu

Krytyczna luka SQL Injection w Windmill CE i EE pozwala na wykonanie zdalnego kodu i przejęcie kontroli. Sprawdź zalecenia bezpieczeństwa.
CVE-2026-23696CVSS 9.4General

Krytyczna luka SQL Injection w Windmill CE i EE umożliwia wykonanie zdalnego kodu

Krytyczna luka SQL Injection w Windmill CE i EE pozwala na wykonanie zdalnego kodu i przejęcie kontroli. Sprawdź zalecenia bezpieczeństwa.

CVSS
9.4 CRITICAL
EPSS
91.28%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W wersjach Windmill CE i EE od 1.276.0 do 1.603.2 wykryto krytyczną lukę SQL Injection w funkcji zarządzania właścicielami folderów. Atakujący z uprawnieniami może wstrzyknąć złośliwe zapytania SQL, uzyskać dostęp do poufnych danych, sfałszować token administracyjny i wykonać dowolny kod przez interfejsy workflow.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla bezpieczeństwa systemów korzystających z podatnych wersji Windmill, umożliwiając atakującym eskalację uprawnień i przejęcie kontroli nad aplikacją. Może to prowadzić do wycieku wrażliwych danych, zakłócenia działania usług oraz naruszenia integralności środowiska IT.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od producenta Windmill. W międzyczasie ogranicz dostęp do funkcji zarządzania właścicielami folderów, monitoruj logi pod kątem podejrzanej aktywności oraz przeprowadź analizę ryzyka i priorytetyzację działań zabezpieczających.

Źródła