lichess.org पर /streamer पर अनसैनिटाइज्ड स्ट्रीम टाइटल इंजेक्शन है

lichess.org हमेशा मुफ्त, विज्ञापन-मुक्त और ओपन सोर्स शतरंज सर्वर है। कोई भी स्वीकृत स्ट्रीमर अपने Twitch/YouTube स्ट्रीम टाइटल में मार्कअप रखकर /streamer और होमपेज “लाइव स्ट्रीम” विजेट में मनमाना HTML इंजेक्ट कर सकता है। CSP मौजूद है और इनलाइन स्क्रिप्ट निष्पादन को ब्लॉक करता है, लेकिन यह अभी भी एक सर्वर-साइड HTML इंजेक्शन सिंक है। इसे ट्रिगर करने के लिए, एक Lichess खाते को केवल सामान्य स्ट्रीमर आवश्यकताओं को पूरा करने और स्वीकृत होने की आवश्यकता है। Streamer.canApply के अनुसार, इसका मतलब है कि 2 दिनों से पुराना खाता जिसमें कम से कम 15 गेम हों, या एक सत्यापित/टाइटल वाला खाता। मॉडरेटर अनुमोदन के बाद, जब स्ट्रीमर लाइव होता है, तो Lichess प्लेटफॉर्म टाइटल को खींचता है और इसे UI में जैसा है वैसा ही प्रस्तुत करता है। सामान्य स्वीकृत स्ट्रीमर प्रोफाइल से परे किसी अतिरिक्त विशेषाधिकारों की आवश्यकता नहीं है। यह भेद्यता कमिट 0d5002696ae705e1888bf77de107c73de57bb1b3 के साथ ठीक की गई है।