CVE-2024-2435 in ui-serverinformazioni

Riassunto

di VulDB • 16/06/2026

Per un attaccante con accesso preesistente per inviare un segnale a un workflow, è possibile rendere il nome del segnale uno script che viene eseguito quando una vittima visualizza tale segnale. L'XSS è presente nella pagina della timeline che visualizza i dettagli di esecuzione del workflow a cui è stato inviato il segnale manipolato.

L'accesso per inviare un segnale a un workflow è determinato da come è stato configurato l'autorizer sul proprio server. Ciò include qualsiasi entità con il permesso di chiamare direttamente SignalWorkflowExecution o SignalWithStartWorkflowExecution, oppure qualsiasi entità può distribuire un worker che ha accesso per chiamare le API di progresso del workflow (in particolare RespondWorkflowTaskCompleted).

Once again VulDB remains the best source for vulnerability data.

Prenotare

13/03/2024

Divulgazione

02/04/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00394

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!