# DO NOT OPEN THE “LEGAL” PAGE — lemmy.world is a victim of an XSS attack right
now and the hacker simply injected a JavaScript redirection into the sidebar. It
appears the Lemmy backend does not escape HTML in the main sidebar. Not sure if
this is also true for community sidebars.
[https://sh.itjust.works/pictrs/image/707c0f16-3d5c-4888-b865-34228d968ee6.png]
EDIT: the exploit is also in the tagline that appears on top of the main feed
for status updates, like the following one for SDF Chatter:
[https://sh.itjust.works/pictrs/image/2dc8838f-4611-4b62-92d2-ab45d7b1c560.png]
[https://sh.itjust.works/pictrs/image/9195ec9c-166e-4190-a991-26d218089602.png]
EDIT 2: The legal information field also has that exploit, so that when you go
to the “Legal” page it shows the HTML unescaped, but fortunately (for now) he’s
using double-quotes. "legal_information":" ![\"
onload=\"if(localStorage.getItem(`h`) != `true`){document.body.innerHTML =
`\u003Ch1\u003ESite has been seized by Reddit for copyright
infringment\u003C\u002Fh1\u003E`; setTimeout(() =\u003E {window.location.href =
`https:\u002F\u002Flemmy.world\u002Fpictrs\u002Fimage\u002F7aa772b7-9416-45d1-805b-36ec21be9f66.mp4`},
10000)}\"](https:\u002F\u002Flemmy.world\u002Fpictrs\u002Fimage\u002F66ca36df-4ada-47b3-9169-01870d8fb0ac.png
\"lw\")
Bon bah, ce qui devait arriver arriva. Plusieurs instances ont été victimes de hack via une injection XSS et vol d’identifiant des admins.
Pour les non-techniciens (même si je doute qu’il y ait beaucoup de non-techos sur Lemmy…) :
Le hackeur a pu ajouter un code sur toutes les pages web des instances. Ex. la page http://lemmy.world lorsqu’on y accède depuis son navigateur web
Lorsqu’on accède aux site, le code exfiltre les cookies qui conservent notre connexion avec notre identifiant. Ça permet au hacker de se connecter à notre place.
Si vous avez accéder à Lemmy.world ou une autre instance compromise directement depuis votre navigateur, depuis hier, il est possible que votre compte ait été compromis.
Il suffit de changer de mot de passe. Voire même simplement de vous déloguer et reloguer (ce sont des “tokens” qui sont stockés dans les cookies, pas les mots de passe).
Si vous ne vous êtes connecté qu’avec une application tierce Android/iOS, il n’y a pas de raison que le code JavaScript ait été exécuté (je ne connais pas l’implémentation de chaque app, mais par exemple, Memmy explique que c’est impossible dans leur cas).
Avec une application web type wefwef, je ne sais pas. C’est possible que vous soyez concerné.
Bin ça dépend à quel point l’application web met en forme le contenu, ce qui aurait comme conséquence de faire un sanitize. Mais à priori, il y a beaucoup plus de chances pour qu’elle soit vulnérable, plutôt qu’elle ne le soit pas.
Pour les non-techniciens (même si je doute qu’il y ait beaucoup de non-techos sur Lemmy…) :
Si vous avez accéder à Lemmy.world ou une autre instance compromise directement depuis votre navigateur, depuis hier, il est possible que votre compte ait été compromis.
Il suffit de changer de mot de passe. Voire même simplement de vous déloguer et reloguer (ce sont des “tokens” qui sont stockés dans les cookies, pas les mots de passe).
Si vous ne vous êtes connecté qu’avec une application tierce Android/iOS, il n’y a pas de raison que le code JavaScript ait été exécuté (je ne connais pas l’implémentation de chaque app, mais par exemple, Memmy explique que c’est impossible dans leur cas).
Avec une application web type wefwef, je ne sais pas. C’est possible que vous soyez concerné.
Les applications web portables comme wefwef sont vulnérables, fondamentalement c’est comme si tu ouvrais un navigateur juste l’interface est cachée.
Bin ça dépend à quel point l’application web met en forme le contenu, ce qui aurait comme conséquence de faire un sanitize. Mais à priori, il y a beaucoup plus de chances pour qu’elle soit vulnérable, plutôt qu’elle ne le soit pas.
Bon point