CVE-2026-23696

Name of the Vulnerable Software and Affected Versions Windmill CE e EE versões 1.276.0 até 1.603.2

Description As versões 1.276.0 até 1.603.2 do Windmill CE e EE contêm uma vulnerabilidade de injeção SQL na funcionalidade de gerenciamento de propriedade de pastas. Atacantes autenticados podem injetar SQL através do parâmetro owner. Essa injeção permite que os invasores leiam dados confidenciais, como o segredo de assinatura JWT e os identificadores de usuários administrativos, forjem um token administrativo e, em seguida, executem código arbitrário através dos endpoints de execução de fluxo de trabalho.

Recommendations As versões 1.276.0 até 1.603.2 do Windmill CE e EE devem ser atualizadas para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como medida temporária, considere restringir o acesso à funcionalidade de gerenciamento de propriedade de pastas.