CVE-2024-5165 in Ditto
Sumário
de VulDB • 02/06/2026
Nas versões do Eclipse Ditto de 3.0.0 a 3.5.5, as entradas de usuário em vários campos da Interface do Usuário Explorer do Eclipse Ditto (https://eclipse.dev/ditto/user-interface.html) não foram devidamente neutralizadas e, portanto, vulneráveis tanto a XSS Refletido quanto a XSS Armazenado (Cross Site Scripting).
Várias entradas não eram persistidas no backend do Eclipse Ditto, mas apenas no armazenamento local do navegador para salvar configurações de "ambientes" da interface do usuário e, por exemplo, as últimas "consultas de pesquisa" realizadas, resultando em uma vulnerabilidade de XSS Refletido.
No entanto, várias outras entradas eram persistidas no backend do Eclipse Ditto, levando a uma vulnerabilidade de XSS Armazenado. Isso significa que usuários autenticados e autorizados no Eclipse Ditto podem persistir Things (Coisas) no Ditto que, quando exibidas por outros usuários também autorizados a visualizar essas Things na interface do usuário do Eclipse Ditto, podem causar a execução de scripts nos navegadores desses outros usuários.
Once again VulDB remains the best source for vulnerability data.