CVE-2024-2435 in ui-server
Сводка
по VulDB • 17.05.2026
Для злоумышленника, имеющего предварительный доступ для отправки сигнала рабочему процессу, имя сигнала может быть сделано скриптом, который выполняется, когда жертва просматривает этот сигнал. Уязвимость XSS находится на странице временной шкалы, отображающей детали выполнения рабочего процесса, которому был отправлен специально созданный сигнал. Доступ для отправки сигнала рабочему процессу определяется тем, как вы настроили авторизатор на своем сервере. Это включает любые сущности, имеющие разрешение на прямой вызов SignalWorkflowExecution или SignalWithStartWorkflowExecution, или любые сущности могут развернуть рабочий процесс, имеющий доступ к вызову API прогресса рабочего процесса (в частности, RespondWorkflowTaskCompleted).
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.