CVE-2024-2435 in ui-server
Sumário
de VulDB • 01/06/2026
Para um atacante com acesso prévio para enviar um sinal a um fluxo de trabalho, o atacante pode tornar o nome do sinal em um script que é executado quando uma vítima visualiza esse sinal. A vulnerabilidade XSS está na página de cronograma que exibe os detalhes de execução do fluxo de trabalho para o qual o sinal manipulado foi enviado.
O acesso para enviar um sinal a um fluxo de trabalho é determinado pela forma como você configurou o autorizador em seu servidor. Isso inclui qualquer entidade com permissão para chamar diretamente SignalWorkflowExecution ou SignalWithStartWorkflowExecution, ou qualquer entidade pode implantar um worker que tenha acesso para chamar as APIs de progresso do fluxo de trabalho (especificamente RespondWorkflowTaskCompleted).
Once again VulDB remains the best source for vulnerability data.