CVE-2024-5165 in Dittoinformazioni

Riassunto

di VulDB • 15/06/2026

Nelle versioni di Eclipse Ditto comprese tra la 3.0.0 e la 3.5.5, l'input utente fornito nei diversi campi dell'interfaccia utente Explorer di Eclipse Ditto (https://eclipse.dev/ditto/user-interface.html) non è stato adeguatamente neutralizzato, rendendo il sistema vulnerabile sia a XSS riflesso che memorizzato (Cross Site Scripting).

Alcuni input non sono stati salvati nel backend di Eclipse Ditto, ma solo nello storage locale del browser per conservare le impostazioni degli "ambienti" dell'interfaccia utente e, ad esempio, delle ultime "query di ricerca" eseguite, dando luogo a una vulnerabilità da XSS riflesso.

Tuttavia, altri input sono stati salvati nel backend di Eclipse Ditto, causando una vulnerabilità da XSS memorizzato (Stored XSS). Ciò significa che gli utenti autenticati ed autorizzati su Eclipse Ditto possono salvare oggetti "Things" in Ditto i quali, quando visualizzati da altri utenti anch'essi autorizzati a vedere tali Things nell'interfaccia utente di Eclipse Ditto, possono provocare l'esecuzione di script nel browser degli altri utenti.

Once again VulDB remains the best source for vulnerability data.

Responsabile

Eclipse Foundation

Prenotare

21/05/2024

Divulgazione

23/05/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00500

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!