MEDIUMCVE-2026-35208

lichess.org heeft een ongewassen Stream Title Injectie op /streamer

Q: Wat is CVE-2026-35208 in Lila Chess Server?

Het is een identificatie voor een beveiligingslek in Lichess dat willekeurige HTML injectie mogelijk maakt.

Q: Ben ik getroffen door CVE-2026-35208 in Lila Chess Server?

Het kan leiden tot de weergave van ongewenste of potentieel schadelijke inhoud op stream pagina's en de live streams widget.

Q: Hoe los ik CVE-2026-35208 in Lila Chess Server op?

Ja, Lichess heeft een fix uitgebracht om dit beveiligingslek aan te pakken. Zorg ervoor dat u de nieuwste versie van de website gebruikt.

Q: Wordt CVE-2026-35208 actief misbruikt?

Zorg ervoor dat uw browser up-to-date is en gebruik de nieuwste versie van Lichess. Wees voorzichtig met verdachte links die u op de stream pagina vindt.

Q: Waar vind ik het officiële Lila Chess Server-beveiligingsadvies voor CVE-2026-35208?

Nee, het is niet nodig om een nieuw account aan te maken. De fix wordt toegepast op alle gebruikers die de nieuwste versie van Lichess gebruiken.

Platform

javascript

Component

lila

Opgelost in

0.0.1

AI Confidence: highNVDEPSS 0.1%Beoordeeld: apr 2026

Bekijk op NVD

Opslaan

CVE-2026-35208 beschrijft een HTML injectie kwetsbaarheid in de Lila Chess Server. Goedgekeurde streamers kunnen via hun Twitch/YouTube stream titel willekeurige HTML injecteren in de /streamer pagina en de “Live streams” widget op de homepage, ondanks de aanwezigheid van CSP. Dit probleem treft versies van de Lila Chess Server tot en met 0d5002696ae7. Een patch is beschikbaar in versie 0d5002696ae7.

Impact en Aanvalsscenarios

CVE-2026-35208 in Lichess stelt goedgekeurde streamers in staat om willekeurige HTML in de /streamer pagina's en de ‘Live streams’ widget op de homepage te injecteren. Dit wordt bereikt door hun streamtitels op Twitch of YouTube te manipuleren. Hoewel Lichess een Content Security Policy (CSP) implementeert die de uitvoering van inline scripts blokkeert, blijft de kwetsbaarheid bestaan als een server-side HTML injectie punt. Een aanvaller heeft een Lichess account nodig dat voldoet aan de standaard eisen voor streamers en goedgekeurd wordt, wat betekent dat het account een bepaalde leeftijd moet hebben (volgens Streamer.canApply). HTML injectie kan worden gebruikt om kwaadaardige inhoud weer te geven, gebruikers om te leiden naar ongewenste websites of andere schadelijke acties uit te voeren binnen de context van Lichess.

Uitbuitingscontext

Een kwaadwillende streamer kan deze kwetsbaarheid uitbuiten om HTML in de stream pagina en de live streams widget op de Lichess homepage te injecteren. De aanvaller heeft een goedgekeurd streamer account nodig. Zodra goedgekeurd, kan de streamer hun streamtitel op Twitch of YouTube manipuleren om kwaadaardige HTML code te bevatten. Deze HTML code zal worden weergegeven op de /streamer pagina en in de live streams widget, wat gebruikers die deze pagina's bezoeken mogelijk beïnvloedt. De CSP blokkeert de uitvoering van scripts, maar staat HTML injectie toe, waardoor visuele manipulatie en mogelijk omleiding mogelijk is.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend

CISA KEVNO

EPSS

0.07% (21% percentiel)

CISA SSVC

Exploitatienone

Automatiseerbaarno

Technische Impactpartial

Getroffen Software

Componentlila

Leverancierlichess-org

Getroffen bereikOpgelost in

< 0d5002696ae705e1888bf77de107c73de57bb1b3 – < 0d5002696ae705e1888bf77de107c73de57bb1b30.0.1

Zwakheidsclassificatie (CWE)

CWE-79 CWE-116

Tijdlijn

Gereserveerd2026-04-01
Gepubliceerd2026-04-06
Gewijzigd2026-04-07
EPSS bijgewerkt2026-04-14

Mitigatie en Workarounds

Lichess heeft een fix (commit 0d5002696ae705e1888bf77de107c73de57bb1b3) geïmplementeerd om deze kwetsbaarheid aan te pakken. De primaire mitigatie omvat een robuustere validatie en sanitatie van streamtitels voordat ze in webpagina's worden opgenomen. Lichess-gebruikers worden geadviseerd om ervoor te zorgen dat ze de nieuwste versie van de website gebruiken om te profiteren van deze fix. Streamers worden ook geadviseerd om het vermijden van potentieel schadelijke of ongewenste inhoud in hun streamtitels, als voorzorgsmaatregel, zelfs nadat de kwetsbaarheid is gepatcht. Het Lichess team blijft de beveiliging van het platform monitoren en verbeteren.

Hoe te verhelpenwordt vertaald…

Actualizar a la versión 0d5002696ae705e1888bf77de107c73de57bb1b3 o superior para evitar la inyección de HTML no sanitizado en los títulos de los streams y el widget de streams en vivo.  La actualización corrige la forma en que Lichess maneja los títulos de los streams, asegurando que el HTML inyectado sea correctamente sanitizado antes de ser renderizado en la interfaz de usuario.

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragen

Wat is CVE-2026-35208 in Lila Chess Server?

Het is een identificatie voor een beveiligingslek in Lichess dat willekeurige HTML injectie mogelijk maakt.

Ben ik getroffen door CVE-2026-35208 in Lila Chess Server?

Het kan leiden tot de weergave van ongewenste of potentieel schadelijke inhoud op stream pagina's en de live streams widget.

Hoe los ik CVE-2026-35208 in Lila Chess Server op?

Ja, Lichess heeft een fix uitgebracht om dit beveiligingslek aan te pakken. Zorg ervoor dat u de nieuwste versie van de website gebruikt.

Wordt CVE-2026-35208 actief misbruikt?

Zorg ervoor dat uw browser up-to-date is en gebruik de nieuwste versie van Lichess. Wees voorzichtig met verdachte links die u op de stream pagina vindt.

Waar vind ik het officiële Lila Chess Server-beveiligingsadvies voor CVE-2026-35208?

Nee, het is niet nodig om een nieuw account aan te maken. De fix wordt toegepast op alle gebruikers die de nieuwste versie van Lichess gebruiken.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannen CVEs zoeken