lemmy.world is a victim of an XSS attack right now and the hacker simply
injected a JavaScript redirection into the sidebar. It appears the Lemmy backend
does not escape HTML in the main sidebar. Not sure if this is also true for
community sidebars.
[https://sh.itjust.works/pictrs/image/707c0f16-3d5c-4888-b865-34228d968ee6.png]
EDIT: the exploit is also in the tagline that appears on top of the main feed
for status updates, like the following one for SDF Chatter:
[https://sh.itjust.works/pictrs/image/2dc8838f-4611-4b62-92d2-ab45d7b1c560.png]
[https://sh.itjust.works/pictrs/image/9195ec9c-166e-4190-a991-26d218089602.png]
Nell’ultima mezz’ora c’è stata ancora attività su quella issue su GitHub (tutt’ora aperta) e sembra che il problema riguardi le custom emoji, non la sidebar. Il bug riguarda solo il frontend web e con una validazione lato client dovrebbe essere risolto, tuttavia non vedo ancora nuove versioni della lemmy-ui. C’è però una procedura di recovery documentata qualora dovessero verificarsi problemi.
Nell’ultima mezz’ora c’è stata ancora attività su quella issue su GitHub (tutt’ora aperta) e sembra che il problema riguardi le custom emoji, non la sidebar. Il bug riguarda solo il frontend web e con una validazione lato client dovrebbe essere risolto, tuttavia non vedo ancora nuove versioni della lemmy-ui. C’è però una procedura di recovery documentata qualora dovessero verificarsi problemi.
AGGIORNAMENTO- Ho cancellato e reinserito l’account dalla app dopo aver resettato la password (da email). Sembra funzionare a dovere adesso👍