lichess.org hat eine Unsanitisierte Stream Title Injection auf /streamer

lichess.org ist der für immer kostenlose, werbefreie und quelloffene Schachserver. Jeder genehmigte Streamer kann beliebigen HTML-Code in /streamer und das Widget “Live-Streams” auf der Startseite einfügen, indem er Markup in seinen Twitch/YouTube-Stream-Titel platziert. CSP ist vorhanden und blockiert die Ausführung von Inline-Skripten, aber das Problem ist weiterhin ein serverseitiger HTML-Injection-Sink. Um dies auszulösen, benötigt ein Lichess-Konto nur, um die normalen Streamer-Anforderungen zu erfüllen und genehmigt zu werden. Gemäß Streamer.canApply bedeutet dies ein Konto, das älter als 2 Tage ist und mindestens 15 Spiele hat, oder ein verifiziertes/titelgebendes Konto. Nach Genehmigung durch einen Moderator zieht Lichess, sobald der Streamer live geht, den Plattformtitel und rendert ihn unverändert in der Benutzeroberfläche. Es sind keine zusätzlichen Berechtigungen erforderlich, die über ein normales genehmigtes Streamer-Profil hinausgehen. Diese Schwachstelle wurde mit Commit 0d5002696ae705e1888bf77de107c73de57bb1b3 behoben.