Platform
nodejs
Component
windmill-labs/windmill
Opgelost in
1.603.3
1.603.3
1.603.3
CVE-2026-23696 is een kritieke Remote Code Execution (RCE) kwetsbaarheid die is ontdekt in Windmill CE en EE versies 1.276.0 tot en met 1.603.2. Deze kwetsbaarheid maakt het mogelijk voor geauthenticeerde aanvallers om SQL injectie uit te voeren in de functionaliteit voor het beheer van map eigendom. De kwetsbaarheid is verholpen in versie 1.603.3.
Een succesvolle exploitatie van CVE-2026-23696 kan verstrekkende gevolgen hebben. Een aanvaller kan via SQL injectie gevoelige data benaderen, waaronder de JWT signing secret en identifiers van administratieve gebruikers. Met deze informatie kan de aanvaller een administratieve token vervalsen en vervolgens willekeurige code uitvoeren via de workflow execution endpoints. Dit kan leiden tot volledige controle over het Windmill systeem en de onderliggende infrastructuur. De impact is vergelijkbaar met scenario's waarin een aanvaller toegang krijgt tot de database credentials en deze misbruikt om de applicatie te compromitteren.
CVE-2026-23696 is gepubliceerd op 2026-04-07. Er is momenteel geen publieke proof-of-concept (POC) beschikbaar, maar de ernst van de kwetsbaarheid (CVSS score van 9.9) en de potentiële impact suggereren een medium tot hoog risico op exploitatie. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven).
Organizations using Windmill CE or EE versions 1.276.0 through 1.603.2, particularly those relying on Windmill for critical automation workflows or data processing, are at significant risk. Environments with weak authentication practices or shared hosting configurations where multiple users have access to the Windmill instance are especially vulnerable.
• nodejs / server:
grep -r 'SELECT * FROM users' /opt/windmill/app/routes/• nodejs / server:
journalctl -u windmill -f | grep -i "SQL injection"• generic web:
curl -I http://<windmill_host>/api/v1/folders/ -d 'owner=';disclosure
Exploit Status
EPSS
0.07% (20% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-23696 is het upgraden van Windmill CE/EE naar versie 1.603.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de folder ownership management functionaliteit. Implementeer strenge authenticatie- en autorisatiecontroles om te voorkomen dat ongeautoriseerde gebruikers toegang krijgen tot de kwetsbare endpoints. Controleer de Windmill logs op verdachte SQL query's die kunnen wijzen op een poging tot exploitatie.
Werk Windmill bij naar versie 1.603.3 of hoger om de SQL injection kwetsbaarheid te mitigeren. Deze update corrigeert de incorrecte handling van de bestandseigendom, waardoor de uitvoering van willekeurige code via SQL injection in de folder ownership management functionaliteit wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-23696 is a critical Remote Code Execution vulnerability in Windmill versions 1.0.0–1.603.3, allowing authenticated attackers to inject SQL and potentially execute arbitrary code.
If you are running Windmill CE or EE versions 1.276.0 through 1.603.3, you are vulnerable to this RCE vulnerability.
Upgrade Windmill to version 1.603.3 or later to remediate the vulnerability. Implement temporary workarounds like input validation and access restrictions if immediate upgrade is not possible.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a high probability of future exploitation.
Refer to the official Windmill security advisory for detailed information and updates: [https://windmill.systems/security](https://windmill.systems/security)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.