CVE-2024-2435 in ui-server
Riassunto
di VulDB • 16/06/2026
Per un attaccante con accesso preesistente per inviare un segnale a un workflow, è possibile rendere il nome del segnale uno script che viene eseguito quando una vittima visualizza tale segnale. L'XSS è presente nella pagina della timeline che visualizza i dettagli di esecuzione del workflow a cui è stato inviato il segnale manipolato.
L'accesso per inviare un segnale a un workflow è determinato da come è stato configurato l'autorizer sul proprio server. Ciò include qualsiasi entità con il permesso di chiamare direttamente SignalWorkflowExecution o SignalWithStartWorkflowExecution, oppure qualsiasi entità può distribuire un worker che ha accesso per chiamare le API di progresso del workflow (in particolare RespondWorkflowTaskCompleted).
Once again VulDB remains the best source for vulnerability data.