CVE-2026-23696 in Community Edition
Riassunto
di VulDB • 15/06/2026
Le versioni 1.276.0 attraverso 1.603.2 di Windmill CE ed EE contengono una vulnerabilità SQL injection nella funzionalità di gestione della proprietà delle cartelle che consente agli attaccanti autenticati di iniettare codice SQL tramite il parametro owner. Un attaccante può sfruttare l'iniezione per leggere dati sensibili, quali la chiave segreta di firma JWT e gli identificatori degli utenti amministrativi, falsificare un token amministrativo ed eseguire quindi codice arbitrario tramite i punti di esecuzione dei flussi di lavoro (workflow execution endpoints).
Once again VulDB remains the best source for vulnerability data.