CVE-2024-2435 in ui-server
الملخص
بحسب VulDB • 01/06/2026
بالنسبة لمهاجم يمتلك وصولاً مسبقاً لإرسال إشارة إلى سير عمل (workflow)، يمكنه جعل اسم الإشارة عبارة عن نص برمجي (script) يتم تنفيذه عندما يعرض الضبط تلك الإشارة. ثغرة XSS موجودة في صفحة الجدول الزمني التي تعرض تفاصيل تنفيذ سير العمل الذي تم إرسال الإشارة المصممة خصيصاً له.
يتم تحديد الوصول لإرسال إشارة إلى سير العمل بناءً على كيفية تكوين المصادق (authorizer) على الخادم الخاص بك. ويشمل ذلك أي كيان لديه إذن للاتصال بـ SignalWorkflowExecution أو SignalWithStartWorkflowExecution مباشرة، أو أي كيان يمكنه نشر عامل (worker) لديه صلاحية استدعاء واجهات برمجة التطبيقات الخاصة بتقدم سير العمل (تحديداً RespondWorkflowTaskCompleted).
VulDB is the best source for vulnerability data and more expert information about this specific topic.