प्लेटफ़ॉर्म
nodejs
घटक
windmill-labs/windmill
में ठीक किया गया
1.603.3
1.603.3
1.603.3
CVE-2026-23696 Windmill CE और EE के संस्करण 1.276.0 से 1.603.2 में एक गंभीर भेद्यता है। यह फ़ोल्डर स्वामित्व प्रबंधन कार्यक्षमता में एक SQL इंजेक्शन भेद्यता है, जो प्रमाणित हमलावरों को मालिक पैरामीटर के माध्यम से SQL इंजेक्ट करने की अनुमति देती है। इस भेद्यता का प्रभाव गंभीर है, क्योंकि हमलावर संवेदनशील डेटा पढ़ सकते हैं और मनमाना कोड निष्पादित कर सकते हैं। Windmill के संस्करण 1.603.3 में अपग्रेड करके इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को Windmill सर्वर पर मनमाना कोड निष्पादित करने की अनुमति देती है। हमलावर SQL इंजेक्शन का उपयोग करके संवेदनशील डेटा, जैसे JWT हस्ताक्षर गुप्त और प्रशासनिक उपयोगकर्ता पहचानकर्ताओं को पढ़ सकते हैं। इसके बाद, वे एक प्रशासनिक टोकन तैयार कर सकते हैं और वर्कफ़्लो निष्पादन समापन बिंदुओं के माध्यम से मनमाना कोड निष्पादित कर सकते हैं। यह डेटा उल्लंघन, सिस्टम समझौता और अन्य गंभीर परिणामों का कारण बन सकता है। इस भेद्यता का शोषण करने के लिए हमलावर को Windmill सिस्टम पर प्रमाणित होना आवश्यक है, लेकिन एक बार प्रमाणित हो जाने पर, वे सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकते हैं। यह भेद्यता Log4Shell जैसे शोषण पैटर्न के समान है, जहां एक साधारण इंजेक्शन हमलावर को सिस्टम पर महत्वपूर्ण नियंत्रण प्रदान कर सकता है।
CVE-2026-23696 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और संभावित प्रभाव को देखते हुए, यह शोषण के लिए एक आकर्षक लक्ष्य है। यह KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है, लेकिन EPSS (Exploit Prediction Score System) स्कोर मध्यम से उच्च होने की संभावना है, जो सार्वजनिक शोषण की संभावना को दर्शाता है। सार्वजनिक प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक उपलब्ध नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभव है कि जल्द ही PoC जारी किए जाएंगे। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
Organizations using Windmill CE or EE versions 1.276.0 through 1.603.2, particularly those relying on Windmill for critical automation workflows or data processing, are at significant risk. Environments with weak authentication practices or shared hosting configurations where multiple users have access to the Windmill instance are especially vulnerable.
• nodejs / server:
grep -r 'SELECT * FROM users' /opt/windmill/app/routes/• nodejs / server:
journalctl -u windmill -f | grep -i "SQL injection"• generic web:
curl -I http://<windmill_host>/api/v1/folders/ -d 'owner=';disclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (20% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-23696 को कम करने के लिए, Windmill को संस्करण 1.603.3 में अपग्रेड करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ोल्डर स्वामित्व प्रबंधन कार्यक्षमता में इनपुट सत्यापन लागू किया जा सकता है। इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग SQL इंजेक्शन हमलों को ब्लॉक करने के लिए किया जा सकता है। यह सुनिश्चित करें कि JWT हस्ताक्षर गुप्त सुरक्षित रूप से संग्रहीत है और नियमित रूप से रोटेट किया जाता है। Windmill के संस्करण 1.603.3 में अपग्रेड करने के बाद, यह सत्यापित करें कि भेद्यता का समाधान हो गया है, फ़ोल्डर स्वामित्व प्रबंधन कार्यक्षमता के माध्यम से SQL इंजेक्शन का प्रयास करके।
SQL इंजेक्शन भेद्यता को कम करने के लिए Windmill को संस्करण 1.603.3 या उच्चतर में अपडेट करें। यह अपडेट फ़ाइल स्वामित्व की गलत हैंडलिंग को ठीक करता है, जिससे फ़ोल्डर स्वामित्व प्रबंधन कार्यक्षमता में SQL इंजेक्शन के माध्यम से मनमाना कोड का निष्पादन रोका जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-23696 Windmill के फ़ोल्डर स्वामित्व प्रबंधन कार्यक्षमता में एक SQL इंजेक्शन भेद्यता है जो हमलावरों को मनमाना कोड निष्पादित करने की अनुमति देती है।
यदि आप Windmill के संस्करण 1.0.0–1.603.3 चला रहे हैं, तो आप प्रभावित हैं।
Windmill को संस्करण 1.603.3 में अपग्रेड करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन इसकी गंभीरता को देखते हुए, यह शोषण के लिए एक आकर्षक लक्ष्य है।
Windmill सुरक्षा सलाहकार के लिए Windmill वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।