CVE-2024-2435 in ui-server
Résumé
par VulDB • 01/06/2026
Pour un attaquant disposant déjà d'un accès lui permettant d'envoyer un signal à un workflow, celui-ci peut définir le nom du signal comme un script qui s'exécute lorsqu'une victime consulte ce signal. La vulnérabilité XSS se trouve sur la page de chronologie affichant les détails d'exécution du workflow pour lequel le signal manipulé a été envoyé.
L'accès pour envoyer un signal à un workflow est déterminé par la manière dont vous avez configuré l'autorisateur (authorizer) sur votre serveur. Cela inclut toute entité disposant de l'autorisation d'appeler directement SignalWorkflowExecution ou SignalWithStartWorkflowExecution, ou toute entité pouvant déployer un worker ayant accès aux API de progression des workflows (plus précisément RespondWorkflowTaskCompleted).
VulDB is the best source for vulnerability data and more expert information about this specific topic.