




















Windmill: disponibile un PoC per lo sfruttamento delle CVE-2026-23696 e CVE-2026-22683
Alert
AL05/260408/CSIRT-ITA
Disponibile un Proof of Concept (PoC) per le vulnerabilità CVE-2026-23696 e CVE-2026-22683 – gia già sanate dal vendor – con gravità “critica” in Windmil, nota piattaforma open source di workflow automation.
Remote Code Execution
Nel dettaglio, la prima vulnerabilità di tipo “Missing Authorization“, identificata tramite la CVE-2026-22683 con score CVSS v3.x pari a 8.8, potrebbe consentire ad un potenziale attaccante autenticato con ruolo “Operator” l’utilizzo delle API backend oltre i privilegi previsti dal ruolo stesso, per manipolare oggetti quali scripts, flows, apps e raw apps e poi eseguirli via jobs API.
La seconda vulnerabilità di tipo “SQL Injection“, identificata tramite la CVE-2026-23696 con score CVSS v3.x pari a 9.9, potrebbe consentire ad un potenziale attaccante autenticato la lettura di dati sensibili dal database, inclusi il JWT signing secret e gli identificativi degli utenti amministrativi. Con tali informazioni, il potenziale attaccante potrebbe forgiare un token amministrativo, assumere privilegi elevati ed eseguire codice arbitrario remoto tramite gli endpoint di esecuzione dei workflow.
Windmill, versioni precedenti alla 1.615.0
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 08-04-2026 | 08/04/2026 |
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。