lichess.org の /streamer における未サニタイズされたストリームタイトルインジェクション

lichess.org は、広告なしで永久に無料でオープンソースのチェスサーバーです。承認されたストリーマーは、Twitch/YouTube のストリームタイトルにマークアップを配置することで、/streamer とホームページの “Live streams” ウィジェットに任意の HTML を挿入できます。CSP は存在し、インラインスクリプトの実行をブロックしますが、この問題は依然としてサーバーサイドの HTML インジェクションのシンクです。これをトリガーするには、Lichess アカウントが通常のストリーマーの要件を満たし、承認される必要があります。Streamer.canApply によれば、それは 2 日以上経過したアカウントで少なくとも 15 ゲーム、または検証済み/タイトルのアカウントを意味します。モデレーターの承認後、ストリーマーがライブになると、Lichess はプラットフォームのタイトルをプルし、UI にそのままレンダリングします。通常の承認されたストリーマープロファイルを超えた追加の権限は必要ありません。この脆弱性は、コミット 0d5002696ae705e1888bf77de107c73de57bb1b3 で修正されました。