📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global insider التعليم HIGH 7h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 12h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 14h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 15h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 22h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 23h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 7h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 12h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 14h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 15h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 22h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 23h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 7h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 12h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 14h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 15h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 18h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 22h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 23h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d
الثغرات

CVE-2026-22683

مرتفع
CWE-862 — نوع الضعف
نُشر: Apr 7, 2026  ·  آخر تحديث: Apr 14, 2026  ·  المصدر: NVD
CVSS v3
8.8
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Windmill versions 1.56.0 through 1.614.0 contain a missing authorization vulnerability that allows users with the Operator role to perform prohibited entity creation and modification actions via the backend API. Although Operators are documented and priced as unable to create or modify entities, the API does not enforce the Operator restriction on workspace endpoints, allowing an Operator to create and update scripts, flows, apps, and raw_apps. Since Operators can also execute scripts via the jobs API, this allows direct privilege escalation to remote code execution within the Windmill deployment. This vulnerability has existed since the introduction of the Operator role in version 1.56.0.

🤖 ملخص AI

Windmill versions 1.56.0-1.614.0 contain a critical authorization bypass allowing Operator-role users to create and modify entities (scripts, flows, apps) they should not have access to, leading to privilege escalation and remote code execution. This vulnerability has persisted since the Operator role's introduction and affects all deployments using these versions. No patch is currently available, requiring immediate compensating controls.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 22, 2026 16:39
🇸🇦 التأثير على المملكة العربية السعودية
High impact for Saudi organizations using Windmill for workflow automation, particularly in: (1) Banking sector (SAMA-regulated institutions) - risk of unauthorized script execution in payment processing systems; (2) Government agencies (NCA oversight) - potential compromise of administrative workflows and data access; (3) Energy sector (ARAMCO, utilities) - critical infrastructure automation at risk; (4) Telecom operators (STC, Mobily) - network automation and provisioning systems vulnerable; (5) Healthcare providers - patient data processing workflows compromised. The privilege escalation to RCE is particularly severe in air-gapped or sensitive environments.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services Government and Public Administration Energy and Utilities Telecommunications Healthcare Manufacturing Retail and E-commerce
⚖️ درجة المخاطر السعودية (AI)
8.9
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Audit all Windmill deployments to identify versions 1.56.0-1.614.0

2. Review audit logs for Operator role API calls to workspace endpoints (script creation, flow creation, app creation, raw_app endpoints)

3. Identify and disable all Operator accounts not requiring active use

4. Implement network segmentation to restrict Windmill API access



COMPENSATING CONTROLS (until patch available):

1. Deploy API gateway/WAF rules to block Operator role requests to: /api/w/*/scripts, /api/w/*/flows, /api/w/*/apps, /api/w/*/raw_apps endpoints

2. Implement role-based API access controls at reverse proxy level

3. Enable comprehensive API logging and alerting for all workspace entity creation/modification attempts

4. Restrict job execution API access to authenticated Admin roles only

5. Monitor for suspicious script/flow creation patterns



DETECTION RULES:

- Alert on Operator role API calls to workspace entity creation endpoints

- Monitor for script execution by Operator-created entities

- Track privilege escalation attempts via jobs API

- Flag rapid entity creation/modification by Operator accounts



PATCHING:

- Await vendor patch release; do not upgrade to unverified versions

- When patch available, test in isolated environment before production deployment
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تدقيق جميع نشرات Windmill لتحديد الإصدارات 1.56.0-1.614.0

2. مراجعة سجلات التدقيق لاستدعاءات API لدور المشغل إلى نقاط نهاية مساحة العمل

3. تحديد وتعطيل جميع حسابات المشغل التي لا تتطلب استخدام نشط

4. تنفيذ تقسيم الشبكة لتقييد وصول API في Windmill



الضوابط التعويضية (حتى توفر التصحيح):

1. نشر قواعد بوابة API/WAF لحظر طلبات دور المشغل إلى نقاط النهاية

2. تنفيذ ضوابط وصول API قائمة على الأدوار على مستوى الوكيل العكسي

3. تفعيل تسجيل التنبيهات الشاملة لجميع محاولات إنشاء/تعديل كيانات مساحة العمل

4. تقييد وصول API تنفيذ الوظائف إلى أدوار المسؤول المصرح بها فقط

5. مراقبة أنماط إنشاء/تعديل البرامج النصية المريبة



قواعد الكشف:

- تنبيه على استدعاءات API لدور المشغل إلى نقاط نهاية إنشاء كيانات مساحة العمل

- مراقبة تنفيذ البرامج النصية بواسطة الكيانات التي أنشأها المشغل

- تتبع محاولات تصعيد الامتيازات عبر API الوظائف

- وضع علامة على الإنشاء/التعديل السريع للكيانات بواسطة حسابات المشغل



التصحيح:

- انتظر إصدار تصحيح البائع؛ لا تقم بالترقية إلى إصدارات غير تم التحقق منها

- عند توفر التصحيح، اختبر في بيئة معزولة قبل نشر الإنتاج
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.9.1.1 - Access control policy and procedures ECC 2024 A.9.2.1 - User registration and access rights management ECC 2024 A.9.4.3 - Review of user access rights ECC 2024 A.14.2.1 - Secure development policy ECC 2024 A.12.4.1 - Event logging and monitoring
🔵 SAMA CSF
SAMA CSF ID.AC-1 - Access Control Policy SAMA CSF PR.AC-1 - Processes and procedures for access management SAMA CSF PR.AC-4 - Access rights and privileges management SAMA CSF DE.AE-1 - Audit and accountability mechanisms SAMA CSF RS.MI-2 - Incident response and recovery
🟡 ISO 27001:2022
ISO 27001:2022 A.5.3 - Segregation of duties ISO 27001:2022 A.8.2 - User access management ISO 27001:2022 A.8.3 - User responsibilities ISO 27001:2022 A.9.2 - User access provisioning ISO 27001:2022 A.9.4 - Access rights review ISO 27001:2022 A.12.4 - Logging and monitoring
🟣 PCI DSS v4.0.1
PCI DSS 7.1 - Limit access to system components by business need-to-know PCI DSS 7.2 - Establish an access control system PCI DSS 8.2 - Ensure proper user identification and authentication PCI DSS 10.2 - Implement automated audit trails
📊 CVSS Score
8.8
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityH — High
AvailabilityH — High
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.8
CWECWE-862
EPSS0.25%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-04-07
المصدر nvd
المشاهدات 5
🇸🇦 درجة المخاطر السعودية
8.9
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-862
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.