MEDIUMCVE-2026-35208

lichess.org の /streamer における未サニタイズされたストリームタイトルインジェクション

Q: CVE-2026-35208 とは何ですか？（Lila Chess Server）

Lichessのセキュリティ脆弱性の識別子であり、任意のHTMLの挿入を可能にします。

Q: Lila Chess Server の CVE-2026-35208 による影響を受けていますか？

ストリームページとライブストリームウィジェットに、望ましくない、または潜在的に悪意のあるコンテンツが表示される可能性があります。

Q: Lila Chess Server の CVE-2026-35208 を修正するにはどうすればよいですか？

はい、Lichessは、この脆弱性を修正するために修正をリリースしました。最新バージョンのWebサイトを使用していることを確認してください。

Q: CVE-2026-35208 は積極的に悪用されていますか？

ブラウザを最新の状態に保ち、Lichessの最新バージョンを使用してください。ストリームページで見つけた疑わしいリンクに注意してください。

Q: CVE-2026-35208 に関する Lila Chess Server の公式アドバイザリはどこで確認できますか？

いいえ、新しいアカウントを作成する必要はありません。修正は、Lichessの最新バージョンを使用しているすべてのユーザーに適用されます。

プラットフォーム

javascript

コンポーネント

lila

修正版

0.0.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年4月

NVDで見る

保存

Lila Chess ServerにおけるHTMLインジェクション脆弱性(CVE-2026-35208)は、承認されたストリーマーがストリームタイトルを通じて任意のHTMLを挿入できる問題です。この脆弱性は、Lichessのホームページの「ライブストリーム」ウィジェットに影響を及ぼし、潜在的なクロスサイトスクリプティング(XSS)攻撃を可能にする可能性があります。影響を受けるバージョンは0d5002696ae705e1888bf77de107c73de57bb1b3以前です。この脆弱性は修正されており、バージョン0d5002696ae705e1888bf77de107c73de57bb1b3以降で解決されています。

影響と攻撃シナリオ

LichessのCVE-2026-35208は、承認されたストリーマーが、TwitchまたはYouTubeのストリームタイトルを操作することで、/streamerページやホームページの「ライブストリーム」ウィジェットに任意のHTMLを挿入することを可能にします。Lichessはインラインスクリプトの実行をブロックするコンテンツセキュリティポリシー（CSP）を実装していますが、この脆弱性はサーバーサイドのHTMLインジェクションポイントとして残っています。攻撃者は、ストリーマーの標準要件を満たし、承認されたLichessアカウント（Streamer.canApplyによると、一定期間使用されている必要がある）が必要です。HTMLインジェクションは、悪意のあるコンテンツを表示したり、ユーザーを望ましくないWebサイトにリダイレクトしたり、Lichessのコンテキスト内で他の有害なアクションを実行するために使用できます。

悪用の状況

悪意のあるストリーマーは、この脆弱性を利用して、LichessホームページのストリームページとライブストリームウィジェットにHTMLを挿入できます。攻撃者は承認されたストリーマーアカウントが必要です。承認されると、ストリーマーはTwitchまたはYouTubeでストリームタイトルを操作して、悪意のあるHTMLコードを含めることができます。このHTMLコードは、/streamerページとライブストリームウィジェットにレンダリングされ、これらのページを訪問するユーザーに影響を与える可能性があります。CSPはスクリプトの実行をブロックしますが、HTMLインジェクションを許可するため、視覚的な操作やリダイレクトが可能になります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.07% (21% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントlila

ベンダーlichess-org

影響範囲修正版

< 0d5002696ae705e1888bf77de107c73de57bb1b3 – < 0d5002696ae705e1888bf77de107c73de57bb1b30.0.1

弱点分類 (CWE)

CWE-79 CWE-116

タイムライン

予約済み2026-04-01
公開日2026-04-06
更新日2026-04-07
EPSS 更新日2026-04-14

緩和策と回避策

Lichessは、この脆弱性を修正するために修正（commit 0d5002696ae705e1888bf77de107c73de57bb1b3）を実装しました。主な軽減策は、Webページに組み込まれる前にストリームタイトルのより堅牢な検証とサニタイズです。Lichessユーザーは、この修正の恩恵を受けるために、最新バージョンのWebサイトを使用していることを確認することをお勧めします。ストリーマーは、脆弱性が修正されても、念のため、ストリームタイトルに潜在的に有害または望ましくないコンテンツを含めないようにすることをお勧めします。Lichessチームは、プラットフォームのセキュリティを監視および改善し続けています。

修正方法翻訳中…

Actualizar a la versión 0d5002696ae705e1888bf77de107c73de57bb1b3 o superior para evitar la inyección de HTML no sanitizado en los títulos de los streams y el widget de streams en vivo.  La actualización corrige la forma en que Lichess maneja los títulos de los streams, asegurando que el HTML inyectado sea correctamente sanitizado antes de ser renderizado en la interfaz de usuario.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-35208 とは何ですか？（Lila Chess Server）