Reddit替代品 Lemmy 开源软件遭 0day 利用攻击
Reddit替代品 Lemmy 开源软件遭 0day 利用攻击
Eduard Kovacs 代码卫士 2023-07-17 17:41
聚焦源代码安全,网罗国内外最新资讯!****
编译:代码卫士
致力于替代 Reddit 的开源软件 Lemmy 遭0day漏洞利用攻击。
Lemmy 是一款开源软件,旨在运行自托管的新闻聚合和讨论论坛。虽然每个 Lemmy 实例由不同的个体或组织机构运行,但它们之间相互连接,可使一个实例的用户与其他服务器上的帖子进行交互。目前,该论文共有超过1100个实例以及近85万名用户。
几天前,有人开始利用与自定义表情符渲染相关的XSS漏洞。攻击者利用该漏洞涂鸦某些流行实例上的页面,包括 Lemmy.world等,后者是最流行的实例,用户人数超过10万人。
Lemmy.world 维护人员解释称,“几个规模更大的 Lemmy 实例的多个用户账户遭通过被盗认证 cookie 被攻陷。其中某些 cookie 属于管理员,这些管理员 cookie 用于涂鸦实例。只有在事件期间打开含有恶意内容的用户易受攻击。”他们还提到,“被盗 cookie 导致攻击者访问受影响用户的所有私密消息和电子邮件地址。”攻击者似乎使用受陷页面将用户重定向至令人讨厌的或令人震惊的内容。
当攻击发生时,某些 Lemmy 实例被先行关闭。
虽然该漏洞目前已修复,但仍然建议用户修改 JWT 机密信息。
代码卫士试用地址:
https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
这个Python 0day 已存在15年,已影响超过35万个开源项目
开源电商平台 PrestaShop 0day被用于窃取在线商店的支付数据
开源U-Boot 引导加载程序中存在两个未修复的严重0day
大企业都在用的开源 ForgeRock OpenAM 被曝预认证 RCE 0day
开源的杀毒软件 ClamAV 被曝 0day,exploit 已公开
原文链接
https://www.securityweek.com/hackers-target-reddit-alternative-lemmy-via-zero-day-vulnerability/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “
在看
” 或 “
赞
” 吧~