lemmy.world is a victim of an XSS attack right now and the hacker simply
injected a JavaScript redirection into the sidebar. It appears the Lemmy backend
does not escape HTML in the main sidebar. Not sure if this is also true for
community sidebars.
[https://sh.itjust.works/pictrs/image/707c0f16-3d5c-4888-b865-34228d968ee6.png]
EDIT: the exploit is also in the tagline that appears on top of the main feed
for status updates, like the following one for SDF Chatter:
[https://sh.itjust.works/pictrs/image/2dc8838f-4611-4b62-92d2-ab45d7b1c560.png]
[https://sh.itjust.works/pictrs/image/9195ec9c-166e-4190-a991-26d218089602.png]
Nell’ultima mezz’ora c’è stata ancora attività su quella issue su GitHub (tutt’ora aperta) e sembra che il problema riguardi le custom emoji, non la sidebar. Il bug riguarda solo il frontend web e con una validazione lato client dovrebbe essere risolto, tuttavia non vedo ancora nuove versioni della lemmy-ui. C’è però una procedura di recovery documentata qualora dovessero verificarsi problemi.
Ma non c’e un qualche aggiornamento con patch di sicurezza? Feddit ha risolto la vulnerabilità?
Nell’ultima mezz’ora c’è stata ancora attività su quella issue su GitHub (tutt’ora aperta) e sembra che il problema riguardi le custom emoji, non la sidebar. Il bug riguarda solo il frontend web e con una validazione lato client dovrebbe essere risolto, tuttavia non vedo ancora nuove versioni della lemmy-ui. C’è però una procedura di recovery documentata qualora dovessero verificarsi problemi.
AGGIORNAMENTO- Ho cancellato e reinserito l’account dalla app dopo aver resettato la password (da email). Sembra funzionare a dovere adesso👍