प्लेटफ़ॉर्म
javascript
घटक
lila
में ठीक किया गया
0.0.1
CVE-2026-35208 Lila Chess Server में एक HTML इंजेक्शन भेद्यता है, जहाँ स्वीकृत स्ट्रीमर्स अपने Twitch/YouTube स्ट्रीम शीर्षक में मनमाना HTML इंजेक्ट कर सकते हैं। यह भेद्यता लाइव स्ट्रीम्स विजेट को प्रभावित करती है और संभावित रूप से क्रॉस-साइट स्क्रिप्टिंग (XSS) हमलों का कारण बन सकती है। प्रभावित संस्करण 0d5002696ae705e1888bf77de107c73de57bb1b3 से पहले के संस्करण हैं। इस भेद्यता को संस्करण 0d5002696ae705e1888bf77de107c73de57bb1b3 में ठीक कर दिया गया है.
Lichess में CVE-2026-35208 स्वीकृत स्ट्रीमर्स को Twitch या YouTube पर अपने स्ट्रीम शीर्षक में हेरफेर करके /streamer पृष्ठों और होमपेज पर “लाइव स्ट्रीम” विजेट में मनमाना HTML इंजेक्ट करने की अनुमति देता है। हालांकि Lichess एक कंटेंट सिक्योरिटी पॉलिसी (CSP) लागू करता है जो इनलाइन स्क्रिप्ट निष्पादन को ब्लॉक करता है, यह भेद्यता अभी भी एक सर्वर-साइड HTML इंजेक्शन बिंदु के रूप में बनी हुई है। एक हमलावर को एक Lichess खाते की आवश्यकता होती है जो मानक स्ट्रीमर आवश्यकताओं को पूरा करता है और स्वीकृत होता है, जिसका अर्थ है कि खाते को कुछ समय तक उपयोग किया जाना चाहिए (Streamer.canApply के अनुसार)। HTML इंजेक्शन का उपयोग दुर्भावनापूर्ण सामग्री प्रदर्शित करने, उपयोगकर्ताओं को अवांछित वेबसाइटों पर पुनर्निर्देशित करने या Lichess के संदर्भ में अन्य हानिकारक क्रियाएं करने के लिए किया जा सकता है।
एक दुर्भावनापूर्ण स्ट्रीमर इस भेद्यता का उपयोग Lichess होमपेज पर स्ट्रीम पेज और लाइव स्ट्रीम विजेट में HTML इंजेक्ट करने के लिए कर सकता है। हमलावर को एक स्वीकृत स्ट्रीमर खाते की आवश्यकता होती है। स्वीकृत होने के बाद, स्ट्रीमर Twitch या YouTube पर अपने स्ट्रीम शीर्षक में दुर्भावनापूर्ण HTML कोड शामिल कर सकता है। यह HTML कोड /streamer पेज और लाइव स्ट्रीम विजेट पर प्रस्तुत किया जाएगा, जिससे इन पृष्ठों पर जाने वाले उपयोगकर्ताओं को संभावित रूप से प्रभावित किया जा सकता है। CSP स्क्रिप्ट निष्पादन को ब्लॉक करता है, लेकिन HTML इंजेक्शन की अनुमति देता है, जिससे दृश्य हेरफेर और संभावित पुनर्निर्देशन सक्षम होता है।
एक्सप्लॉइट स्थिति
EPSS
0.07% (21% शतमक)
CISA SSVC
Lichess ने इस भेद्यता को संबोधित करने के लिए एक फिक्स (कमिट 0d5002696ae705e1888bf77de107c73de57bb1b3) लागू किया है। प्राथमिक शमन में वेब पृष्ठों में शामिल होने से पहले स्ट्रीम शीर्षकों का अधिक मजबूत सत्यापन और सैनिटाइजेशन शामिल है। Lichess उपयोगकर्ताओं को इस फिक्स का लाभ उठाने के लिए वेबसाइट के नवीनतम संस्करण का उपयोग करने की सलाह दी जाती है। स्ट्रीमर्स को भी सावधानी के तौर पर, भेद्यता को पैच करने के बाद भी अपने स्ट्रीम शीर्षकों में संभावित रूप से हानिकारक या अवांछित सामग्री शामिल करने से बचने की सलाह दी जाती है। Lichess टीम प्लेटफॉर्म की सुरक्षा की निगरानी और सुधार करना जारी रखती है।
Actualizar a la versión 0d5002696ae705e1888bf77de107c73de57bb1b3 o superior para evitar la inyección de HTML no sanitizado en los títulos de los streams y el widget de streams en vivo. La actualización corrige la forma en que Lichess maneja los títulos de los streams, asegurando que el HTML inyectado sea correctamente sanitizado antes de ser renderizado en la interfaz de usuario.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह Lichess में एक सुरक्षा भेद्यता के लिए एक पहचानकर्ता है जो मनमाना HTML इंजेक्शन की अनुमति देता है।
इससे स्ट्रीम पृष्ठों और लाइव स्ट्रीम विजेट पर अवांछित या संभावित रूप से दुर्भावनापूर्ण सामग्री प्रदर्शित हो सकती है।
हाँ, Lichess ने इस भेद्यता को संबोधित करने के लिए एक फिक्स जारी किया है। वेबसाइट के नवीनतम संस्करण का उपयोग करना सुनिश्चित करें।
सुनिश्चित करें कि आपका ब्राउज़र अपडेट है और Lichess के नवीनतम संस्करण का उपयोग करें। स्ट्रीम पेज पर पाए जाने वाले संदिग्ध लिंक के प्रति सावधान रहें।
नहीं, आपको एक नया खाता बनाने की आवश्यकता नहीं है। फिक्स Lichess के नवीनतम संस्करण का उपयोग करने वाले सभी उपयोगकर्ताओं पर लागू किया गया है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।