PT-2024-34794 · Eclipse · Eclipse Ditto
Manuel Sommer
+1
·
Publicado
2024-05-23
·
Atualizado
2025-01-31
·
CVE-2024-5165
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões 3.0.0 a 3.5.5 do Eclipse Ditto
Descrição
As entradas do usuário em vários campos de entrada da interface do usuário do Eclipse Ditto Explorer não foram devidamente neutralizadas, tornando-a vulnerável a ataques XSS (Cross Site Scripting) tanto refletidos quanto armazenados. Várias entradas não eram persistidas no backend do Eclipse Ditto, mas apenas no armazenamento local do navegador, resultando em uma vulnerabilidade de XSS refletido. No entanto, várias outras entradas eram persistidas no backend do Eclipse Ditto, levando a uma vulnerabilidade de XSS armazenado. Isso significa que usuários autenticados e autorizados no Eclipse Ditto podem persistir itens no Ditto, o que pode fazer com que scripts sejam executados no navegador de outros usuários ao serem exibidos.
Recomendações
Para as versões 3.0.0 a 3.5.5 do Eclipse Ditto, atualize para uma versão que neutralize adequadamente as entradas do usuário para evitar vulnerabilidades de XSS refletido e armazenado.
Como solução temporária, considere restringir o acesso à interface de usuário do Eclipse Ditto Explorer para minimizar o risco de exploração.
Evite usar os campos de entrada vulneráveis na interface de usuário do Eclipse Ditto Explorer até que o problema seja resolvido.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Eclipse Ditto