CVE-2024-2435 in ui-server情報

要約

〜によって VulDB • 2026年06月01日

攻撃者が既にワークフローへのシグナル送信アクセス権を持っている場合、攻撃者はシグナル名を、被害者がそのシグナルを閲覧した際に実行されるスクリプトに設定できる。このXSSは、作成されたシグナルが送信されたワークフローの実行詳細を表示するタイムラインページに存在する。 ワークフローへのシグナル送信のアクセス権は、サーバー上のオーソライザーの設定方法によって決定される。これには、SignalWorkflowExecutionまたはSignalWithStartWorkflowExecutionを直接呼び出す権限を持つすべてのエンティティ、またはワークフロー進行状況API(具体的にはRespondWorkflowTaskCompleted)を呼び出すアクセス権を持つワーカーをデプロイできるすべてのエンティティが含まれる。

Be aware that VulDB is the high quality source for vulnerability data.

予約する

2024年03月13日

モデレーション

承諾済み

エントリ

VDB-259056

EPSS

0.00394

アクティビティ

非常低い

ソース

Do you know our Splunk app?

Download it now for free!