Impatto Sistemico

Critico (79.35)

Sintesi

Disponibile un Proof of Concept (PoC) per le vulnerabilità CVE-2026-23696 e CVE-2026-22683 – gia già sanate dal vendor – con gravità “critica” in Windmil, nota piattaforma open source di workflow automation.

Tipologia

Remote Code Execution

Descrizione e potenziali impatti

Nel dettaglio, la prima vulnerabilità di tipo “Missing Authorization“, identificata tramite la CVE-2026-22683 con score CVSS v3.x pari a 8.8, potrebbe consentire ad un potenziale attaccante autenticato con ruolo “Operator” l’utilizzo delle API backend oltre i privilegi previsti dal ruolo stesso, per manipolare oggetti quali scripts, flows, apps e raw apps e poi eseguirli via jobs API.

La seconda vulnerabilità di tipo “SQL Injection“, identificata tramite la CVE-2026-23696 con score CVSS v3.x pari a 9.9, potrebbe consentire ad un potenziale attaccante autenticato la lettura di dati sensibili dal database, inclusi il JWT signing secret e gli identificativi degli utenti amministrativi . Con tali informazioni, il potenziale attaccante potrebbe forgiare un token amministrativo, assumere privilegi elevati ed eseguire codice arbitrario remoto tramite gli endpoint di esecuzione dei workflow.

Prodotti e versioni affette

Windmill, versioni precedenti alla 1.615.0

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.