CVE-2024-2435 in ui-serverinformación

Resumen

por VulDB • 2026-06-01

Para un atacante con acceso preexistente para enviar una señal a un flujo de trabajo, el atacante puede hacer que el nombre de la señal sea un script que se ejecute cuando una víctima vea esa señal. La vulnerabilidad XSS se encuentra en la página de la línea de tiempo que muestra los detalles de ejecución del flujo de trabajo al que se envió la señal manipulada.

El acceso para enviar una señal a un flujo de trabajo está determinado por cómo haya configurado el autorizador en su servidor. Esto incluye cualquier entidad con permiso para llamar directamente a SignalWorkflowExecution o SignalWithStartWorkflowExecution, o cualquier entidad que pueda implementar un trabajador que tenga acceso para llamar a las APIs de progreso del flujo de trabajo (específicamente RespondWorkflowTaskCompleted).

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Reservar

2024-03-13

Divulgación

2024-04-02

Moderación

aceptado

Artículo

VDB-259056

CPE

listo

EPSS

0.00394

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!