Plateforme
javascript
Composant
lila
Corrigé dans
0.0.1
CVE-2026-35208 represents a server-side HTML injection vulnerability within the Lila Chess Server, specifically affecting approved streamers. This allows malicious actors to inject arbitrary HTML into the /streamer page and the “Live streams” widget on the homepage, potentially leading to content manipulation and user experience degradation. The vulnerability impacts Lichess Chess Server versions up to and including 0d5002696ae705e1888bf77de107c73de57bb1b3, but a patch is available in version 0d5002696ae705e1888bf77de107c73de57bb1b3.
La vulnérabilité CVE-2026-35208 sur Lichess permet aux streamers approuvés d'injecter du code HTML arbitraire dans les pages /streamer et le widget « Transmissions en direct » sur la page d'accueil. Cela est réalisé en manipulant les titres de leurs diffusions sur Twitch ou YouTube. Bien que Lichess implémente une Politique de Sécurité du Contenu (CSP) qui bloque l'exécution de scripts en ligne, la vulnérabilité persiste en tant que point d'injection HTML côté serveur. Un attaquant a besoin d'un compte Lichess qui répond aux exigences standard pour les streamers et qui est approuvé, ce qui signifie que le compte doit avoir un certain âge (selon Streamer.canApply). L'injection HTML peut être utilisée pour afficher du contenu malveillant, rediriger les utilisateurs vers des sites Web indésirables ou effectuer d'autres actions nuisibles dans le contexte de Lichess.
Un streamer malveillant peut exploiter cette vulnérabilité pour injecter du HTML dans la page de diffusion et le widget de diffusions en direct sur la page d'accueil de Lichess. L'attaquant a besoin d'un compte de streamer approuvé. Une fois approuvé, le streamer peut manipuler le titre de sa diffusion sur Twitch ou YouTube pour inclure du code HTML malveillant. Ce code HTML sera rendu sur la page /streamer et dans le widget de diffusions en direct, affectant potentiellement les utilisateurs visitant ces pages. La CSP bloque l'exécution de scripts, mais permet l'injection de HTML, ce qui permet la manipulation visuelle et, potentiellement, la redirection.
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
CISA SSVC
Lichess a mis en œuvre une correction (commit 0d5002696ae705e1888bf77de107c73de57bb1b3) pour résoudre cette vulnérabilité. L'atténuation principale consiste en une validation et une désinfection plus robustes des titres des diffusions avant qu'ils ne soient inclus dans les pages web. Les utilisateurs de Lichess sont invités à s'assurer qu'ils utilisent la dernière version du site Web pour bénéficier de cette correction. Les streamers sont également invités à éviter d'inclure du contenu potentiellement préjudiciable ou indésirable dans les titres de leurs diffusions, par mesure de précaution, même après la correction de la vulnérabilité. L'équipe de Lichess continue de surveiller et d'améliorer la sécurité de la plateforme.
Actualizar a la versión 0d5002696ae705e1888bf77de107c73de57bb1b3 o superior para evitar la inyección de HTML no sanitizado en los títulos de los streams y el widget de streams en vivo. La actualización corrige la forma en que Lichess maneja los títulos de los streams, asegurando que el HTML inyectado sea correctamente sanitizado antes de ser renderizado en la interfaz de usuario.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un identifiant pour une vulnérabilité de sécurité sur Lichess qui permet l'injection de HTML arbitraire.
Cela pourrait entraîner l'affichage de contenu indésirable ou potentiellement malveillant sur les pages de diffusion et le widget de diffusions en direct.
Oui, Lichess a publié une correction pour résoudre cette vulnérabilité. Assurez-vous d'utiliser la dernière version du site Web.
Assurez-vous que votre navigateur est à jour et utilisez la dernière version de Lichess. Soyez prudent avec les liens suspects que vous trouvez sur la page de diffusion.
Non, il n'est pas nécessaire de créer un nouveau compte. La correction est appliquée à tous les utilisateurs qui utilisent la dernière version de Lichess.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.