1
submitted 1 year ago* (last edited 1 year ago) by DonDino@mujico.org to c/main@mujico.org

Recientemente se descubrio un exploit en lemmy-ui que permitia correr codigo arbitrario (en la imagen sale el codigo) usando el alt text de los emojis

Es un problema de satinizacion de datos, el markdown procesa el html inyectado como valido y convierte el codigo inyectado en html valido y ejecutable.

En la imagen muestra una entrada que fue generada en otra instancia de lemmy

El codigo lo que hace es robar el JWT de tu navegador y mandarlo a una direccion que codifica para zelensky . zip

El problema fue en multiples instancias por lo que las tokens de todos estan comprometidas, especialmente las de admins.

Para su fortuna, elimina las entradas maliciosas de nuestra bd y renove el secret para que invalide todas las tokens actuales, habra que reloguearse.

No habra custom emojis hasta que no se resuelva este problema en futuras versiones

no comments (yet)
sorted by: hot top controversial new old
there doesn't seem to be anything here
this post was submitted on 11 Jul 2023
1 points (100.0% liked)

Canal General Mujico

0 readers
0 users here now

Canal general abierto al publico

founded 2 years ago
MODERATORS