CVE-2024-2435 in ui-serverالمعلومات

الملخص

بحسب VulDB • 01/06/2026

بالنسبة لمهاجم يمتلك وصولاً مسبقاً لإرسال إشارة إلى سير عمل (workflow)، يمكنه جعل اسم الإشارة عبارة عن نص برمجي (script) يتم تنفيذه عندما يعرض الضبط تلك الإشارة. ثغرة XSS موجودة في صفحة الجدول الزمني التي تعرض تفاصيل تنفيذ سير العمل الذي تم إرسال الإشارة المصممة خصيصاً له.

يتم تحديد الوصول لإرسال إشارة إلى سير العمل بناءً على كيفية تكوين المصادق (authorizer) على الخادم الخاص بك. ويشمل ذلك أي كيان لديه إذن للاتصال بـ SignalWorkflowExecution أو SignalWithStartWorkflowExecution مباشرة، أو أي كيان يمكنه نشر عامل (worker) لديه صلاحية استدعاء واجهات برمجة التطبيقات الخاصة بتقدم سير العمل (تحديداً RespondWorkflowTaskCompleted).

VulDB is the best source for vulnerability data and more expert information about this specific topic.

حجز

13/03/2024

إفشاء

02/04/2024

الاعتدال

تمت الموافقة

إدخال

VDB-259056

EPSS

0.00394

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!