lichess.org présente une injection de titre de flux non assaini sur /streamer
Plateforme
javascript
Composant
lila
Corrigé dans
0.0.1
CVE-2026-35208 represents a server-side HTML injection vulnerability within the Lila Chess Server, specifically affecting approved streamers. This allows malicious actors to inject arbitrary HTML into the /streamer page and the “Live streams” widget on the homepage, potentially leading to content manipulation and user experience degradation. The vulnerability impacts Lichess Chess Server versions up to and including 0d5002696ae705e1888bf77de107c73de57bb1b3, but a patch is available in version 0d5002696ae705e1888bf77de107c73de57bb1b3.
Impact et Scénarios d'Attaque
La vulnérabilité CVE-2026-35208 sur Lichess permet aux streamers approuvés d'injecter du code HTML arbitraire dans les pages /streamer et le widget « Transmissions en direct » sur la page d'accueil. Cela est réalisé en manipulant les titres de leurs diffusions sur Twitch ou YouTube. Bien que Lichess implémente une Politique de Sécurité du Contenu (CSP) qui bloque l'exécution de scripts en ligne, la vulnérabilité persiste en tant que point d'injection HTML côté serveur. Un attaquant a besoin d'un compte Lichess qui répond aux exigences standard pour les streamers et qui est approuvé, ce qui signifie que le compte doit avoir un certain âge (selon Streamer.canApply). L'injection HTML peut être utilisée pour afficher du contenu malveillant, rediriger les utilisateurs vers des sites Web indésirables ou effectuer d'autres actions nuisibles dans le contexte de Lichess.
Contexte d'Exploitation
Un streamer malveillant peut exploiter cette vulnérabilité pour injecter du HTML dans la page de diffusion et le widget de diffusions en direct sur la page d'accueil de Lichess. L'attaquant a besoin d'un compte de streamer approuvé. Une fois approuvé, le streamer peut manipuler le titre de sa diffusion sur Twitch ou YouTube pour inclure du code HTML malveillant. Ce code HTML sera rendu sur la page /streamer et dans le widget de diffusions en direct, affectant potentiellement les utilisateurs visitant ces pages. La CSP bloque l'exécution de scripts, mais permet l'injection de HTML, ce qui permet la manipulation visuelle et, potentiellement, la redirection.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
CISA SSVC
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
Lichess a mis en œuvre une correction (commit 0d5002696ae705e1888bf77de107c73de57bb1b3) pour résoudre cette vulnérabilité. L'atténuation principale consiste en une validation et une désinfection plus robustes des titres des diffusions avant qu'ils ne soient inclus dans les pages web. Les utilisateurs de Lichess sont invités à s'assurer qu'ils utilisent la dernière version du site Web pour bénéficier de cette correction. Les streamers sont également invités à éviter d'inclure du contenu potentiellement préjudiciable ou indésirable dans les titres de leurs diffusions, par mesure de précaution, même après la correction de la vulnérabilité. L'équipe de Lichess continue de surveiller et d'améliorer la sécurité de la plateforme.
Comment corrigertraduction en cours…
Actualizar a la versión 0d5002696ae705e1888bf77de107c73de57bb1b3 o superior para evitar la inyección de HTML no sanitizado en los títulos de los streams y el widget de streams en vivo. La actualización corrige la forma en que Lichess maneja los títulos de los streams, asegurando que el HTML inyectado sea correctamente sanitizado antes de ser renderizado en la interfaz de usuario.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentes
Qu'est-ce que CVE-2026-35208 dans Lila Chess Server ?
C'est un identifiant pour une vulnérabilité de sécurité sur Lichess qui permet l'injection de HTML arbitraire.
Suis-je affecté(e) par CVE-2026-35208 dans Lila Chess Server ?
Cela pourrait entraîner l'affichage de contenu indésirable ou potentiellement malveillant sur les pages de diffusion et le widget de diffusions en direct.
Comment corriger CVE-2026-35208 dans Lila Chess Server ?
Oui, Lichess a publié une correction pour résoudre cette vulnérabilité. Assurez-vous d'utiliser la dernière version du site Web.
CVE-2026-35208 est-il activement exploité ?
Assurez-vous que votre navigateur est à jour et utilisez la dernière version de Lichess. Soyez prudent avec les liens suspects que vous trouvez sur la page de diffusion.
Où trouver l'avis officiel de Lila Chess Server pour CVE-2026-35208 ?
Non, il n'est pas nécessaire de créer un nouveau compte. La correction est appliquée à tous les utilisateurs qui utilisent la dernière version de Lichess.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.