Критична вразливість SQL-ін'єкції у Windmill CE та EE (CVE-2026-23696)
Вразливість CVE-2026-23696 у Windmill CE та EE дозволяє виконувати довільний код через SQL-ін'єкцію. Рекомендується термінове оновлення.
- CVSS
- 9.4 CRITICAL
- EPSS
- 91.28%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У версіях Windmill CE та EE з 1.276.0 по 1.603.2 виявлено критичну SQL-ін'єкцію у функціоналі керування власністю папок, що дозволяє автентифікованим зловмисникам отримати доступ до конфіденційних даних та виконувати довільний код.
Бізнес-вплив
Вразливість дозволяє зловмисникам викрасти секретні ключі підпису JWT та ідентифікатори адміністративних користувачів, підробити адміністративний токен і виконати довільний код через кінцеві точки виконання робочих процесів. Це створює серйозну загрозу безпеці інфраструктури та може призвести до повного компрометування системи.
Рекомендовані дії адміністратора
Адміністраторам слід негайно перевірити наявність оновлень або патчів від виробника Windmill для усунення цієї вразливості. Рекомендується обмежити доступ до функцій керування власністю папок, провести аудит логів на предмет підозрілої активності та пріоритезувати оновлення систем для зменшення ризиків.