サイバーセキュリティ研究者は、WindmillデベロッパープラットフォームおよびWindmillエンジンが組み込まれている統合型アプリケーションであるNextcloud Flowの重大な脆弱性を発見しました。
これらの重大な脆弱性により、遠隔攻撃者はパスワードを必要とせずに影響を受けたシステムを完全に制御することができます。
システム管理者は、壊滅的なネットワーク侵害とデータ盗難を防ぐためにすぐにパッチを適用する必要があります。
最近、セキュリティ研究者Chocapikkは「Windfall」という名前の高度な概念実証エクスプロイトフレームワークをリリースし、ハッカーが現実の攻撃を仕掛けるための障壁を大幅に低下させました。
- CVE-2026-29059: WindmillおよびNextcloud Flowにおける認証なしのパストトラバーサル脆弱性(CWE-22)。最大CSSスコアは10.0です。
- 保留中のCVE: 同じデベロッパープラットフォームに影響を与える認証済みのSQL注入脆弱性で、重大なCVSSスコア9.4を持ちます。
- 追跡タグ: エクスプロイトフレームワークはCVE-2026-23695、CVE-2026-23696、CVE-2026-23697、およびCVE-2026-23698にも大きくタグを付けています。
コア脆弱性
最も危険な問題は、公式にCVE-2026-29059と特定されたパストトラバーサルの欠陥です。ログシステムのget_log_fileエンドポイントでファイルパスを適切にフィルタリングできていないため、存在しています。
結果として、インターネット上の誰もが単純なディレクトリトラバーサルシーケンスを使って機密ファイルを読み取ることができます。攻撃者はこれを利用して、隠された機密情報、パスワード、悪意のあるコードの実行を盗み出します。
Docker環境では、ハッカーはコンテナから脱出して、基本的なホストマシンを直接攻撃することもできます。
2番目の欠陥はSQL注入脆弱性です。攻撃者がWindmillに基本的なオペレーターアカウントを既に持っている必要があります。
ログインすると、この低レベルユーザーはデータベースクエリをシームレスに操作してPostgreSQLデータベースからすべてのデータを抽出できます。その後、彼らはアカウントを「スーパー管理者」ステータスにアップグレードして、システム全体を制御します。
Nextcloud FlowがWindmill自動化エンジンを深く統合しているため、リスクはスタンドアロンWindmillサーバーを超えて広がっています。
研究者は、特定のネットワークエンドポイントが誤って公開された重大な設定エラーを発見しました。
これは、攻撃者がアクティブな認証情報を必要とせずにNextcloudのセキュリティプロキシを完全にバイパスできることを意味します。
巧妙なトリプルURLエンコーディングのトリックを利用して、攻撃者はセキュリティフィルターを通り抜けて、サーバー環境変数から機密情報を盗みます。その後、偽の管理者アカウントを簡単に作成して、Nextcloud全体のインスタンスを制御します。
Windfallエクスプロイトフレームワーク
「Windfall」エクスプロイトフレームワークの公開リリースにより、状況は特に緊急です。
AI支援で協力して構築されたこの本番グレードの攻撃ツールは、ターゲットサーバータイプを自動的に検出し、パスワードを盗むための最適な方法をインテリジェントに選択します。
アラーム的に、このツールは非常にステルスな「ゴーストモード」を含んでいます。この運用セキュリティ機能は、ハック完了後にバックエンドデータベースからすべての攻撃トレースを自動的に削除します。
ジョブ履歴と生のコードログをアクティブに削除し、インシデント対応チームにシステム侵害の法医学的証拠をゼロに残します。
これらの重大なセキュリティホールを素早く修正するために、管理者はすぐに環境をWindmillバージョン1.603.3およびNextcloud Flowバージョン1.3.0にアップグレードする必要があります。
開発者は、すべてのファイルパスリクエストを適切にサニタイズし、厳密な認証プロトコルを必須にする必要があります。
さらに、セキュリティチームはコンテナを非rootユーザーとして実行し、更新が完全に不可能な場合はFlowアプリを無効にし、Dockerソケットアクセスをブロックする必要があります。これらの重要なステップは、成功した侵害による潜在的な損害を大幅に制限します。
翻訳元: https://gbhackers.com/windmill-developer-platform-flaws/
