lemmy-uiのMarkdownパーサにXSS脆弱性、カスタム絵文字を有功にしていた一部のインスタンスとそのユーザが被害を受ける。なおlemmy-ui v0.18.2-rc.1で対処済
lemmy-uiのMarkdownパーサにXSS脆弱性、カスタム絵文字を有功にしていた一部のインスタンスとそのユーザが被害を受ける。なおlemmy-ui v0.18.2-rc.1で対処済
sh.itjust.works (URGENT) Lemmy has an XSS vulnerability in the tagline, the sidebar and in the legal information field - sh.itjust.works
# DO NOT OPEN THE “LEGAL” PAGE — lemmy.world is a victim of an XSS attack right now and the hacker simply injected a JavaScript redirection into the sidebar. It appears the Lemmy backend does not escape HTML in the main sidebar. Not sure if this is also true for community sidebars. [https://sh.itjus...
lemmy.worldも被害を受けたみたいですね。人多いのに…
- https://github.com/LemmyNet/lemmy-ui/commits/0.18.2-rc.1
- https://lemm.ee/post/942359 - インスタンスのadmin管理者向けまとめと緩和方法
- https://github.com/LemmyNet/lemmy/issues/3499 - JWTトークンが期限切れしない問題
- https://github.com/LemmyNet/lemmy/issues/3364 - JWTトークンがログアウトしても無効化されない問題
2 comments
情報ありがとうございます。助かります。
朝コミット一覧みてたら見つけてちょっと焦ってた・・。
何かしら役に立ったのなら良かったです。どこも管理者さんは大変ですよね…