During the last few days several Lemmy instances such as Lemmy.world and lemmy.blahaj.zone have come victims of hacking. This hacking happened by exploiting an XSS vulnerability enabled by custom emojis set by an instance. This way the admins’ cookies could be captured. A good recap of the incident has been made here.

This vulnerability doesn’t concern Sopuli, as we have not enabled our own emojis. Custom emojis set by an instance don’t federate with other instances. Even after this incident it may take longer time to enable those. In case you are wondering why you had to login again, I replaced the JWT secret used by the instance with a new one just in case.


Muutaman viime päivän aikana muutamat Lemmy-instanssit kuten Lemmy.world ja lemmy.blahaj.zone ovat joutuneet hakkeroinnin uhreiksi. Tämä hakkerointi tapahtui hyödyntämällä instanssin omien emojien mahdollistamaa XSS-haavoittuvuutta. Näin ylläpitäjien evästeet saatiin haltuun. Tapauksesta on tehty hyvä tiivistys täällä.

Tämä haavoittuvuus ei koske Sopulia, koska emme ole ottaneet käyttöön omia emojeja. Instanssin itse asettamat emojit eivät federoidu muiden instanssien kanssa. Tämän tapauksen jälkeenkin niiden käyttöönotossa saattaa kestää pidemmän aikaa. Jos ihmettelette, miksi joudutte kirjautumaan uudestaan, korvasin instanssin käyttämän JWT-käyttöoikeustietueen varuilta uudella.