Recientemente se descubrio un exploit en lemmy-ui que permitia correr codigo arbitrario (en la imagen sale el codigo) usando el alt text de los emojis
Es un problema de satinizacion de datos, el markdown procesa el html inyectado como valido y convierte el codigo inyectado en html valido y ejecutable.
En la imagen muestra una entrada que fue generada en otra instancia de lemmy
El codigo lo que hace es robar el JWT de tu navegador y mandarlo a una direccion que codifica para zelensky . zip
El problema fue en multiples instancias por lo que las tokens de todos estan comprometidas, especialmente las de admins.
Para su fortuna, elimina las entradas maliciosas de nuestra bd y renove el secret para que invalide todas las tokens actuales, habra que reloguearse.
No habra custom emojis hasta que no se resuelva este problema en futuras versiones