(URGENT) Lemmy has an XSS vulnerability in the sidebar - sh.itjust.works
sh.itjust.works
lemmy.world is a victim of an XSS attack right now and the hacker simply injected a JavaScript redirection into the sidebar. It appears the Lemmy backend does not escape HTML in the main sidebar. Not sure if this is also true for community sidebars. [https://sh.itjust.works/pictrs/image/707c0f16-3d5c-4888-b865-34228d968ee6.png]

Bon bah, ce qui devait arriver arriva. Plusieurs instances ont été victimes de hack via une injection XSS et vol d’identifiant des admins.

  • just_chill@lemmy.worldFrançais
    2·
    1 year ago

    Je ne suis pas sur de comprendre si c’est fixé ou pas. D’après ce que j’ai compris, le problème vient du vol de cookies, donc les admin les ont réinitialisés. Mais rien n’empèche le hackeur de recommencer tant que le problème n’est pas fixé? Ou alors les devs sont au taquet et c’est déjà réparé?

    • Camus (il, lui)@jlai.luFrançais
      3·
      1 year ago

      Vu la réponse des admins sur Lemmyworld (le lien est dans un autre commentaire), ils ont résolu le problème localement. D’autres instances pourraient encore être affectées par contre