C'è una vulnerabilità in corso su lemmy, impatta anche feddit?
C'è una vulnerabilità in corso su lemmy, impatta anche feddit?
lemmy.world is a victim of an XSS attack right now and the hacker simply injected a JavaScript redirection into the sidebar. It appears the Lemmy backend does not escape HTML in the main sidebar. Not sure if this is also true for community sidebars. [https://sh.itjust.works/pictrs/image/707c0f16-3d5...
La vulnerabilità teoricamente riguarda tutta la piattaforma (c'è una falla di sicurezza nella sidebar che permette attacchi di tipo XSS) ma solo due istanze sono state compromesse e feddit.it non è tra queste. Nel corso della notte hanno ripristinato il funzionamento, sembrerebbe, in ogni caso. Fonte: https://lemmy.world/post/1287082 Issue GitHub: https://github.com/LemmyNet/lemmy-ui/issues/1895
Ma non c'e un qualche aggiornamento con patch di sicurezza? Feddit ha risolto la vulnerabilità?
Nell'ultima mezz'ora c'è stata ancora attività su quella issue su GitHub (tutt'ora aperta) e sembra che il problema riguardi le custom emoji, non la sidebar. Il bug riguarda solo il frontend web e con una validazione lato client dovrebbe essere risolto, tuttavia non vedo ancora nuove versioni della lemmy-ui. C'è però una procedura di recovery documentata qualora dovessero verificarsi problemi.
Cazo, ecco perché continuavo a venire buttato fuori da lemmy.world. Ora sono riuscito ad accedere però, spero abbiano sistemato...
Infatti al momento il mio account lemmy.world é bloccato.
ma è solo client side dopo aver visto un link malevolo, giusto?