PT-2024-20370 · Unknown · Temporal Server
Publicado
2024-04-02
·
Atualizado
2024-06-04
·
CVE-2024-2435
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Temporal UI Server (versões afetadas não especificadas)
Descrição
A vulnerabilidade permite que um invasor com acesso pré-existente envie um sinal a um fluxo de trabalho para que este execute um script quando a vítima visualizar o sinal. Isso é feito definindo o nome do sinal como um script. A vulnerabilidade de cross-site scripting (XSS) está presente na página da linha do tempo que exibe os detalhes de execução do fluxo de trabalho ao qual foi enviado o sinal manipulado. O acesso para enviar um sinal a um fluxo de trabalho é determinado pela configuração do autorizador no servidor, incluindo entidades com permissão para chamar diretamente determinadas APIs ou implantar um worker com acesso para chamar APIs de progresso do fluxo de trabalho.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Temporal Server