Vulnerabilidad en Windmill Exposes Workspace (CVE-2026-26964)

Windmill es una plataforma de desarrollo de código abierto para código interno: APIs, trabajos en segundo plano, flujos de trabajo e interfaces de usuario. Las versiones 1.634.6 y anteriores permiten a los usuarios no administradores obtener secretos de cliente de Slack OAuth, que solo deberían ser accesibles para los administradores del espacio de trabajo. El endpoint GET /api/w/{workspace}/workspaces/get_settings devuelve el slack_oauth_client_secret a cualquier miembro autenticado del espacio de trabajo, independientemente de su estado de administrador. Es un comportamiento esperado que los usuarios no administradores vean una versión redactada de la configuración del espacio de trabajo, ya que algunos de ellos son necesarios para que el frontend se comporte correctamente incluso para los no administradores. Sin embargo, la configuración de Slack no debería ser visible para los no administradores. Este es un problema heredado donde la configuración se almacenaba como un valor sin formato en lugar de usar la indirección de $variable, y nunca se añadió a la lógica de redacción. Este problema ha sido solucionado en la versión 1.635.0.