NÀr du skriver en kommentar kan du göra formatteringstricks med Markdown, men Markdown-parseren som Lemmy anvÀnder konverterar inte innehÄllet till plaintext nÀr den lagras i databasen, vilket gör det möjligt att gömma körbara skript i en kommentar.
Idag anvÀnde en hackare lÀnkade bilder i lemmy.world:s kommentarer vars alternativtext innehÄller skriptet som stjÀl autentiseringsnyckeln av anvÀndare som laddar kommentaren. Med den metoden fick hackaren tillgÄng till en av adminernas konton och la till bilden med skriptet i lemmy.world:s sidebar, sÄ alla inloggade anvÀndare skulle fÄ sin nyckel stulen (eftersom sidebaren laddas pÄ varje sida).
Som anvÀndare Àr det bÀst att du inte besöker Lemmy-sidor inloggat pÄ en webbrowser just nu - attacken Àr inte begrÀnsad till lemmy.world och kan anvÀndas till att hÀmta autentiseringsnycklar frÄn alla instanser som inte blockerar körbara skript.
Admin kan lÀgga till script-src 'self' 'nonce-$RANDOM' till instansens Content Security Policy pÄ proxyservern för att blockera körbara skript pÄ sidan. LÀs mer hÀr för att lÀra dig mer om hur exploiten fungerar (extern instans, du blir utloggad).
Bobby Tables slÄr till igen!
Lemmy-ui Àr nu uppdaterad till en version som skall stoppa custom-emoji XSS. Jag har ocksÄ genererat en ny JWT-secret (vilket gör alla cookies ogiltiga, om det skulle vara sÄ att nÄgons cookie har blivit stulen) -> ni behöver logga in igen.
Glömde att lÀnka Àrendet pÄ GitHub.
Exploiten nyttjar custom emojis för att köra skriptet men det Àr oklart om emojin mÄste vara instansens egen för att skriptet ska köras.
Tack för att du uppmĂ€rksammar detta. Jag hoppas vĂ„ra admins ser det đ
Tack för informationen och beskrivningen. đđŒ
Exploiten fungerar inte pÄ vÄr instans eftersom vi har uppgraderat till 0.18.2, inget att frukta lÀngre!
