Windmill の脆弱性 CVE-2026-29059 が FIX:エクスプロイト・フレームワーク Windfall も登場

Windmill Developer Platform Flaws Expose Users to RCE Attacks, Proof-of-Concept Published

2026/04/07 gbhackers — Windmill 開発者プラットフォームと、Windmill エンジンを組み込む Nextcloud Flow に存在する深刻な脆弱性が、サイバー・セキュリティ研究者たちにより発見された。これらの深刻な欠陥を悪用するリモート攻撃者は、パスワードを必要とせずに、対象システムの完全な制御を可能にする。システム管理者にとって必要なことは、直ちにパッチを適用し、壊滅的なネットワーク侵害やデータ窃取を防ぐことである。

先日に、セキュリティ研究者 Chocapikk が公開した Windfall と呼ばれる高度な PoC エクスプロイト・フレームワークにより、実環境での攻撃のハードルを大幅に引き下げられた。

  • CVE-2026-29059:Windmill/Nextcloud Flow における、未認証のパス・トラバーサル脆弱性 (CWE-22) であり、CVSS スコアは最大の 10.0 である。
  • CVE-N/A:同プラットフォームに影響を及ぼす認証済みの SQL インジェクション脆弱性であり、CVSS スコアは 9.4 である。
  • 関連タグ:このエクスプロイト・フレームワークは、脆弱性 CVE-2026-23695/CVE-2026-23696/CVE-2026-23697/CVE-2026-23698 も対象としている。
主要な脆弱性

最も危険なパス・トラバーサルの脆弱性 CVE-2026-29059 は、ログシステムの get_log_file エンドポイントにおけるファイルパスの不適切なフィルタリングに起因する。

その結果として、単純なディレクトリ・トラバーサルを用いた機密ファイルの読み取りが、インターネット上の任意のユーザーに許されてしまう。この脆弱性の悪用に成功した攻撃者は、アプリケーションのシークレット取得/パスワード窃取/悪意のコード実行を可能にする。

Docker 環境では、コンテナからの脱出が可能となり、ホスト・マシンへの直接攻撃も成立する。2 つ目の問題は、SQL インジェクションの脆弱性である。この攻撃の前提としては、Windmill 上の基本的な operator アカウントが必要となる。

低権限ユーザーであっても、ログイン後にデータベース・クエリを操作し、PostgreSQL データベース内の全データを抽出できる。その後に、アカウントを super admin に昇格させ、システム全体の制御を取得できる。

ーーーーー

Nextcloud Flow が Windmill オートメーション・エンジンを深く統合しているため、このリスクは単体の Windmill サーバに留まらない。

研究者たちが確認したのは、重大なミスコンフィグにより、特定のネットワーク・エンドポイントが誤って公開されている状況である。この問題を突く攻撃者は、認証なしで Nextcloud のセキュリティ・プロキシを完全に回避できる。

さらに、トリプル URL エンコードを用いることでセキュリティ・フィルタを回避し、サーバ環境変数からアプリケーション・シークレットを窃取できる。その後に、偽の管理者アカウントを作成し、Nextcloud 全体を掌握可能となる。

Windfall エクスプロイト・フレームワーク

Windfall エクスプロイト・フレームワークが公開されたことにより、きわめて緊急性が高い状況にある。このツールは AI 支援により開発され、対象サーバを自動判別し最適なパスワード窃取手法を選択する。

さらに、Ghost Mode と呼ばれるステルス機能を備えており、攻撃完了後にバックエンド・データベース上の痕跡を自動削除する。ジョブ履歴およびコードログを削除するため、インシデント対応チームはフォレンジック証跡を一切取得できない。

対策

管理者にとって必要なことは、Windmill バージョン 1.603.3/Nextcloud Flow バージョン 1.3.0 へと速やかにアップグレードし、これらの深刻な脆弱性に対処することだ。

開発者は、すべてのファイルパス・リクエストを適切にサニタイズし、厳格な認証制御を実装すべきである。

さらに、コンテナに関しては、非 root ユーザーで実行し、更新が不可能な場合には Flow アプリを無効化し、Docker ソケットへのアクセスを遮断することが推奨される。

これらの対策により、侵害時の影響を大幅に低減できる。

訳者後書:この脆弱性の原因は、Windmill プラットフォームのログ取得エンドポイントにおける、ファイルパスの不十分なサニタイズ処理にあります。この不備により、CVE-2026-29059 という最大深刻度 10.0 のパス トラバーサル脆弱性が生じ、未認証の第三者がシステム内の機密ファイルを自由に読み取れる状態になっていました。さらに、Nextcloud Flow との統合におけるミスコンフィグや SQL インジェクションの脆弱性が重なったことで、認証回避が引き起こされ、管理者権限の奪取やデータベースの抽出が容易になってしまいます。ご利用のチームは、ご注意ください。