Plattform
javascript
Komponente
lila
Behoben in
0.0.1
CVE-2026-35208 represents a server-side HTML injection vulnerability within the Lila Chess Server, specifically affecting approved streamers. This allows malicious actors to inject arbitrary HTML into the /streamer page and the “Live streams” widget on the homepage, potentially leading to content manipulation and user experience degradation. The vulnerability impacts Lichess Chess Server versions up to and including 0d5002696ae705e1888bf77de107c73de57bb1b3, but a patch is available in version 0d5002696ae705e1888bf77de107c73de57bb1b3.
CVE-2026-35208 in Lichess ermöglicht es genehmigten Streamern, beliebiges HTML in die Seiten /streamer und das Widget „Live-Streams“ auf der Startseite einzuschleusen. Dies wird erreicht, indem sie ihre Stream-Titel auf Twitch oder YouTube manipulieren. Obwohl Lichess eine Content Security Policy (CSP) implementiert, die die Ausführung von Inline-Skripten blockiert, bleibt die Schwachstelle als serverseitiger HTML-Injection-Punkt bestehen. Ein Angreifer benötigt ein Lichess-Konto, das die Standardanforderungen für Streamer erfüllt und genehmigt wird, was bedeutet, dass das Konto ein bestimmtes Alter haben muss (gemäß Streamer.canApply). HTML-Injection kann verwendet werden, um bösartigen Inhalt anzuzeigen, Benutzer auf unerwünschte Websites umzuleiten oder andere schädliche Aktionen im Kontext von Lichess durchzuführen.
Ein bösartiger Streamer kann diese Schwachstelle ausnutzen, um HTML in die Stream-Seite und das Live-Streams-Widget auf der Lichess-Startseite einzuschleusen. Der Angreifer benötigt ein genehmigtes Streamer-Konto. Sobald er genehmigt ist, kann der Streamer seinen Stream-Titel auf Twitch oder YouTube manipulieren, um bösartigen HTML-Code einzufügen. Dieser HTML-Code wird auf der Seite /streamer und im Live-Streams-Widget gerendert, was die Benutzer, die diese Seiten besuchen, potenziell beeinträchtigt. Die CSP blockiert die Ausführung von Skripten, erlaubt aber die HTML-Injection, was eine visuelle Manipulation und potenziell eine Umleitung ermöglicht.
Exploit-Status
EPSS
0.07% (21% Perzentil)
CISA SSVC
Lichess hat eine Korrektur (Commit 0d5002696ae705e1888bf77de107c73de57bb1b3) implementiert, um diese Schwachstelle zu beheben. Die primäre Abschwächung besteht in einer robusteren Validierung und Bereinigung von Stream-Titeln, bevor sie in Webseiten aufgenommen werden. Lichess-Benutzer werden empfohlen, sicherzustellen, dass sie die neueste Version der Website verwenden, um von dieser Korrektur zu profitieren. Streamer werden ebenfalls aufgefordert, es zu vermeiden, potenziell schädliche oder unerwünschte Inhalte in ihre Stream-Titel aufzunehmen, als Vorsichtsmaßnahme, auch nachdem die Schwachstelle behoben wurde. Das Lichess-Team überwacht und verbessert weiterhin die Sicherheit der Plattform.
Actualizar a la versión 0d5002696ae705e1888bf77de107c73de57bb1b3 o superior para evitar la inyección de HTML no sanitizado en los títulos de los streams y el widget de streams en vivo. La actualización corrige la forma en que Lichess maneja los títulos de los streams, asegurando que el HTML inyectado sea correctamente sanitizado antes de ser renderizado en la interfaz de usuario.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist ein Bezeichner für eine Sicherheitslücke in Lichess, die die Injection von beliebigem HTML ermöglicht.
Es könnte dazu führen, dass unerwünschte oder potenziell schädliche Inhalte auf Stream-Seiten und im Live-Streams-Widget angezeigt werden.
Ja, Lichess hat eine Korrektur veröffentlicht, um diese Schwachstelle zu beheben. Stellen Sie sicher, dass Sie die neueste Version der Website verwenden.
Stellen Sie sicher, dass Ihr Browser auf dem neuesten Stand ist und verwenden Sie die neueste Version von Lichess. Seien Sie vorsichtig bei verdächtigen Links, die Sie auf der Stream-Seite finden.
Nein, es ist nicht notwendig, ein neues Konto zu erstellen. Die Korrektur wird auf alle Benutzer angewendet, die die neueste Version von Lichess verwenden.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.