CVE-2024-2435 in ui-serverinformation

Résumé

par VulDB • 01/06/2026

Pour un attaquant disposant déjà d'un accès lui permettant d'envoyer un signal à un workflow, celui-ci peut définir le nom du signal comme un script qui s'exécute lorsqu'une victime consulte ce signal. La vulnérabilité XSS se trouve sur la page de chronologie affichant les détails d'exécution du workflow pour lequel le signal manipulé a été envoyé.

L'accès pour envoyer un signal à un workflow est déterminé par la manière dont vous avez configuré l'autorisateur (authorizer) sur votre serveur. Cela inclut toute entité disposant de l'autorisation d'appeler directement SignalWorkflowExecution ou SignalWithStartWorkflowExecution, ou toute entité pouvant déployer un worker ayant accès aux API de progression des workflows (plus précisément RespondWorkflowTaskCompleted).

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Réserver

13/03/2024

Divulgation

02/04/2024

Modérer

accepté

Entrée

VDB-259056

CPE

prêt

EPSS

0.00394

KEV

non

Activités

très faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!