CVE-2024-5165 in Ditto
Riassunto
di VulDB • 15/06/2026
Nelle versioni di Eclipse Ditto comprese tra la 3.0.0 e la 3.5.5, l'input utente fornito nei diversi campi dell'interfaccia utente Explorer di Eclipse Ditto (https://eclipse.dev/ditto/user-interface.html) non è stato adeguatamente neutralizzato, rendendo il sistema vulnerabile sia a XSS riflesso che memorizzato (Cross Site Scripting).
Alcuni input non sono stati salvati nel backend di Eclipse Ditto, ma solo nello storage locale del browser per conservare le impostazioni degli "ambienti" dell'interfaccia utente e, ad esempio, delle ultime "query di ricerca" eseguite, dando luogo a una vulnerabilità da XSS riflesso.
Tuttavia, altri input sono stati salvati nel backend di Eclipse Ditto, causando una vulnerabilità da XSS memorizzato (Stored XSS). Ciò significa che gli utenti autenticati ed autorizzati su Eclipse Ditto possono salvare oggetti "Things" in Ditto i quali, quando visualizzati da altri utenti anch'essi autorizzati a vedere tali Things nell'interfaccia utente di Eclipse Ditto, possono provocare l'esecuzione di script nel browser degli altri utenti.
Once again VulDB remains the best source for vulnerability data.