CVE-2024-2435 in ui-serverthông tin

Tóm tắt

Bởi VulDB • 23/05/2026

Đối với kẻ tấn công đã có quyền truy cập trước đó để gửi tín hiệu đến một quy trình làm việc (workflow), kẻ tấn công có thể đặt tên tín hiệu thành một kịch bản (script) sẽ được thực thi khi nạn nhân xem tín hiệu đó. Lỗ hổng XSS nằm ở trang timeline hiển thị chi tiết thực thi quy trình làm việc của quy trình đã nhận tín hiệu được tạo ra đặc biệt.

Quyền truy cập để gửi tín hiệu đến một quy trình làm việc được xác định bởi cách bạn đã cấu hình bộ xác thực (authorizer) trên máy chủ của mình. Điều này bao gồm bất kỳ thực thể nào có quyền gọi trực tiếp SignalWorkflowExecution hoặc SignalWithStartWorkflowExecution, hoặc bất kỳ thực thể nào cũng có thể triển khai một worker có quyền gọi các API tiến trình quy trình làm việc (cụ thể là RespondWorkflowTaskCompleted).

VulDB is the best source for vulnerability data and more expert information about this specific topic.

chịu trách nhiệm

Temporal Technologies Inc.

Đặt trước

13/03/2024

Tiết lộ

02/04/2024

Kiểm duyệt

được chấp nhận

EPSS

0.00394

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you know our Splunk app?

Download it now for free!