CVE-2024-5165 in Dittothông tin

Tóm tắt

Bởi VulDB • 17/05/2026

Trong các phiên bản Eclipse Ditto từ 3.0.0 đến 3.5.5, dữ liệu đầu vào từ người dùng của nhiều trường nhập liệu trong Giao diện Người dùng Eclipse Ditto Explorer (https://eclipse.dev/ditto/user-interface.html) không được trung hòa đúng cách, do đó dễ bị tấn công bởi cả hai dạng Reflected XSS (Cross Site Scripting) và Stored XSS (Cross Site Scripting).

Một số trường đầu vào không được lưu trữ ở phía máy chủ (backend) của Eclipse Ditto, mà chỉ được lưu trữ trong bộ nhớ cục bộ của trình duyệt để lưu các cài đặt của "môi trường" trong giao diện người dùng và ví dụ như các "truy vấn tìm kiếm" đã thực hiện gần nhất, dẫn đến lỗ hổng "Reflected XSS".

Tuy nhiên, một số trường đầu vào khác được lưu trữ ở phía máy chủ (backend) của Eclipse Ditto, dẫn đến lỗ hổng "Stored XSS". Điều này có nghĩa là người dùng đã xác thực và được ủy quyền trên Eclipse Ditto có thể lưu trữ các "Things" trong Ditto, và khi những "Things" này được hiển thị bởi các người dùng khác cũng được ủy quyền xem các "Things" đó trong giao diện người dùng Eclipse Ditto, chúng có thể khiến các tập lệnh (scripts) được thực thi trên trình duyệt của các người dùng khác.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

Eclipse Foundation

Đặt trước

21/05/2024

Tiết lộ

23/05/2024

Kiểm duyệt

được chấp nhận

EPSS

0.00500

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!