lichess.org présente une injection de titre de flux non assaini sur /streamer

lichess.org est un serveur d'échecs gratuit, sans publicité et open source. Tout streamer approuvé peut injecter du HTML arbitraire dans /streamer et le widget “Streams en direct” de la page d’accueil en plaçant du balisage dans le titre de son flux Twitch/YouTube. Une CSP est présente et bloque l'exécution de scripts en ligne, mais le problème reste un point d'injection HTML côté serveur. Pour déclencher cela, un compte Lichess doit seulement satisfaire les exigences normales d'un streamer et obtenir l'approbation. Selon Streamer.canApply, cela signifie un compte plus ancien que 2 jours avec au moins 15 parties, ou un compte vérifié/titré. Après l'approbation du modérateur, une fois le streamer en direct, Lichess récupère le titre de la plateforme et le rend dans l'interface utilisateur tel quel. Aucun privilège supplémentaire n'est nécessaire au-delà d'un profil de streamer approuvé normal. Cette vulnérabilité est corrigée avec le commit 0d5002696ae705e1888bf77de107c73de57bb1b3.