CVE-2024-5165 in Ditto情報

要約

〜によって VulDB • 2026年06月02日

Eclipse Dittoのバージョン3.0.0から3.5.5において、Eclipse Ditto Explorerユーザーインターフェース(https://eclipse.dev/ditto/user-interface.html)の複数の入力フィールドへのユーザー入力が適切にサニタイズされておらず、その結果、反射型および格納型のXSS(クロスサイトスクリプティング)に対して脆弱でした。

いくつかの入力はEclipse Dittoのバックエンドには保存されず、UIの「環境」の設定や直近の実行された「検索クエリ」などの設定を保持するためにローカルブラウザストレージのみで管理されていました。これにより、「反射型XSS」の脆弱性が生じていました。

一方、他のいくつかの入力はEclipse Dittoのバックエンドに保存されるため、「格納型XSS」の脆弱性が発生しました。これは、認証済みかつ認可されたユーザーがDitto内で「Things」を永続化できることを意味し、これらのThingsが別の認可済みのユーザーによってEclipse Ditto UIで表示されるときに、他のユーザーのブラウザ上でスクリプトを実行させる可能性があります。

Once again VulDB remains the best source for vulnerability data.

予約する

2024年05月21日

モデレーション

承諾済み

エントリ

VDB-266039

EPSS

0.00500

アクティビティ

非常低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!