Vulnerabilidad en Temporal Technologies Inc. (CVE-2024-2435)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

02/04/2024

Última modificación:

02/04/2024

Descripción

Para que un atacante con acceso preexistente envíe una señal a un flujo de trabajo, el atacante puede hacer que la señal nombre un script que se ejecute cuando una víctima vea esa señal. El XSS se encuentra en la página de la línea de tiempo y muestra los detalles de ejecución del flujo de trabajo al que se envió la señal diseñada. El acceso para enviar una señal a un flujo de trabajo está determinado por cómo configuró el autorizador en su servidor. Esto incluye cualquier entidad con permiso para llamar directamente a SignalWorkflowExecution o SignalWithStartWorkflowExecution, o cualquier entidad que pueda implementar un trabajador que tenga acceso para llamar a las API de progreso del flujo de trabajo (específicamente RespondWorkflowTaskCompleted).

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

4.30

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/temporalio/ui-server/releases/tag/v2.25.0