lemmy.world is a victim of an XSS attack right now and the hacker simply
injected a JavaScript redirection into the sidebar. It appears the Lemmy backend
does not escape HTML in the main sidebar. Not sure if this is also true for
community sidebars.
[https://sh.itjust.works/pictrs/image/707c0f16-3d5c-4888-b865-34228d968ee6.png]
EDIT: the exploit is also in the tagline that appears on top of the main feed
for status updates, like the following one for SDF Chatter:
[https://sh.itjust.works/pictrs/image/2dc8838f-4611-4b62-92d2-ab45d7b1c560.png]
[https://sh.itjust.works/pictrs/image/9195ec9c-166e-4190-a991-26d218089602.png]
La vulnerabilità teoricamente riguarda tutta la piattaforma (c’è una falla di sicurezza nella sidebar che permette attacchi di tipo XSS) ma solo due istanze sono state compromesse e feddit.it non è tra queste.
Nel corso della notte hanno ripristinato il funzionamento, sembrerebbe, in ogni caso.
Fonte: https://lemmy.world/post/1287082
Issue GitHub: https://github.com/LemmyNet/lemmy-ui/issues/1895
Nell’ultima mezz’ora c’è stata ancora attività su quella issue su GitHub (tutt’ora aperta) e sembra che il problema riguardi le custom emoji, non la sidebar. Il bug riguarda solo il frontend web e con una validazione lato client dovrebbe essere risolto, tuttavia non vedo ancora nuove versioni della lemmy-ui. C’è però una procedura di recovery documentata qualora dovessero verificarsi problemi.
La vulnerabilità teoricamente riguarda tutta la piattaforma (c’è una falla di sicurezza nella sidebar che permette attacchi di tipo XSS) ma solo due istanze sono state compromesse e feddit.it non è tra queste. Nel corso della notte hanno ripristinato il funzionamento, sembrerebbe, in ogni caso. Fonte: https://lemmy.world/post/1287082 Issue GitHub: https://github.com/LemmyNet/lemmy-ui/issues/1895
Ma non c’e un qualche aggiornamento con patch di sicurezza? Feddit ha risolto la vulnerabilità?
Nell’ultima mezz’ora c’è stata ancora attività su quella issue su GitHub (tutt’ora aperta) e sembra che il problema riguardi le custom emoji, non la sidebar. Il bug riguarda solo il frontend web e con una validazione lato client dovrebbe essere risolto, tuttavia non vedo ancora nuove versioni della lemmy-ui. C’è però una procedura di recovery documentata qualora dovessero verificarsi problemi.
AGGIORNAMENTO- Ho cancellato e reinserito l’account dalla app dopo aver resettato la password (da email). Sembra funzionare a dovere adesso👍