NÀr du skriver en kommentar kan du göra formatteringstricks med Markdown
, men Markdown-parseren som Lemmy anvÀnder konverterar inte innehÄllet till plaintext nÀr den lagras i databasen, vilket gör det möjligt att gömma körbara skript i en kommentar.
Idag anvÀnde en hackare lÀnkade bilder i lemmy.world:s kommentarer vars alternativtext innehÄller skriptet som stjÀl autentiseringsnyckeln av anvÀndare som laddar kommentaren. Med den metoden fick hackaren tillgÄng till en av adminernas konton och la till bilden med skriptet i lemmy.world:s sidebar, sÄ alla inloggade anvÀndare skulle fÄ sin nyckel stulen (eftersom sidebaren laddas pÄ varje sida).
Som anvÀndare Àr det bÀst att du inte besöker Lemmy-sidor inloggat pÄ en webbrowser just nu - attacken Àr inte begrÀnsad till lemmy.world och kan anvÀndas till att hÀmta autentiseringsnycklar frÄn alla instanser som inte blockerar körbara skript.
Admin kan lÀgga till script-src 'self' 'nonce-$RANDOM'
till instansens Content Security Policy pÄ proxyservern för att blockera körbara skript pÄ sidan. LÀs mer hÀr för att lÀra dig mer om hur exploiten fungerar (extern instans, du blir utloggad).
Glömde att lÀnka Àrendet pÄ GitHub.
Exploiten nyttjar custom emojis för att köra skriptet men det Àr oklart om emojin mÄste vara instansens egen för att skriptet ska köras.