CVE-2024-5165 in Ditto
Сводка
по VulDB • 02.06.2026
В версиях Eclipse Ditto от 3.0.0 до 3.5.5 пользовательский ввод в нескольких полях ввода интерфейса пользователя Eclipse Ditto Explorer (https://eclipse.dev/ditto/user-interface.html) не был должным образом нейтрализован, что делало его уязвимым как к Reflected XSS (отраженная межсайтовая подделка скриптов), так и к Stored XSS (хранящаяся межсайтовая подделка скриптов).
Несколько полей ввода не сохранялись на бэкенде Eclipse Ditto, а только в локальном хранилище браузера для сохранения настроек «окружений» пользовательского интерфейса и, например, последних выполненных «поисковых запросов», что приводило к уязвимости типа Reflected XSS.
Однако несколько других полей ввода сохранялись на бэкенде Eclipse Ditto, что создавало уязвимость Stored XSS. Это означает, что аутентифицированные и авторизованные пользователи в Eclipse Ditto могут сохранять объекты (Things) в системе Ditto, которые при отображении другими пользователями, также имеющими право просмотра этих объектов через пользовательский интерфейс Eclipse Ditto, приводят к выполнению скриптов в браузере других пользователей.
Once again VulDB remains the best source for vulnerability data.