Специалисты по информационной безопасности обнаружили критические уязвимости в платформе для разработчиков Windmill и в продукте Nextcloud Flow, который встраивает её движок. Эти серьёзные недостатки позволяют удалённым злоумышленникам получить полный контроль над уязвимыми системами без необходимости ввода паролей. Ситуация стала особенно критичной после публикации исследователем Chocapikk готового фреймворка для эксплуатации под названием "Windfall", что значительно упростило для хакеров проведение реальных атак. Системным администраторам настоятельно рекомендуется немедленно установить обновления, чтобы предотвратить катастрофические взломы сетей и кражу данных.
Детали уязвимостей
В центре внимания находятся две основные уязвимости. Наиболее опасная из них - это проблема обхода пути (path traversal), получившая идентификатор CVE-2026-29059 и максимальный балл 10.0 по шкале CVSS. Она возникает из-за того, что программное обеспечение некорректно фильтрует пути к файлам в конечной точке "get_log_file" системы логирования. Как следствие, любой пользователь в интернете может читать конфиденциальные файлы, используя простые последовательности для обхода директорий. Злоумышленники активно используют эту уязвимость для кражи скрытых секретов приложения, доступа к паролям и выполнения произвольного кода. В средах с контейнерами Docker атакующие могут даже выйти за пределы контейнера, чтобы напрямую атаковать базовую хост-систему.
Вторая проблема - это уязвимость внедрения SQL-кода (SQL injection), которая пока ожидает присвоения собственного идентификатора CVE и имеет оценку 9.4. Для её эксплуатации требуется, чтобы у атакующего уже была базовая учётная запись оператора в Windmill. Однако, получив такой доступ, пользователь низкого уровня может манипулировать запросами к базе данных, чтобы извлечь всю информацию из PostgreSQL. После этого он способен повысить свои привилегии до статуса "супер-администратора", получая тотальный контроль над системой. Риск распространяется не только на автономные серверы Windmill, но и на Nextcloud Flow, поскольку он глубоко интегрирует движок автоматизации Windmill.
Исследователь обнаружил серьёзную ошибку конфигурации в Nextcloud Flow, при которой определённая сетевая конечная точка была случайно сделана публичной. Это означает, что злоумышленники могут полностью обойти прокси безопасности Nextcloud, не нуждаясь в действующих учётных данных. Используя тройное кодирование URL, атакующие обходят фильтры безопасности и похищают секреты приложений из переменных окружения сервера. После этого они могут легко создать поддельные учётные записи администраторов, чтобы захватить управление всем экземпляром Nextcloud.
Ситуация требует безотлагательных действий из-за публичного релиза фреймворка для эксплуатации "Windfall". Этот инструмент, созданный с помощью искусственного интеллекта, автоматически определяет тип целевого сервера и интеллектуально выбирает оптимальный метод для кражи паролей. Тревогу вызывает также функция "Режим призрака" (Ghost Mode), предназначенная для повышенной скрытности. Данная функция операционной безопасности автоматически стирает все следы атаки из внутренней базы данных после завершения взлома. Она активно удаляет историю задач и логи исходного кода, оставляя командам реагирования на инциденты нулевые криминалистические доказательства нарушения безопасности системы.
Для быстрого устранения этих серьёзных брешей в безопасности администраторам необходимо немедленно обновить свои среды до Windmill версии 1.603.3 и Nextcloud Flow версии 1.3.0. Разработчикам, в свою очередь, следует правильно обрабатывать все запросы к файловым путям и требовать соблюдения строгих протоколов аутентификации. Кроме того, командам безопасности рекомендуется запускать контейнеры от имени непривилегированных пользователей, отключать приложение Flow, если обновление совершенно невозможно, и блокировать доступ к сокету Docker. Эти важные шаги позволят существенно ограничить потенциальный ущерб от успешного взлома.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-29059
- https://github.com/windmill-labs/windmill/security/advisories/GHSA-24fr-44f8-fqwg
- https://github.com/windmill-labs/windmill/releases/tag/v1.603.3
