Platform
javascript
Component
lila
Opgelost in
0.0.1
CVE-2026-35208 beschrijft een HTML injectie kwetsbaarheid in de Lila Chess Server. Goedgekeurde streamers kunnen via hun Twitch/YouTube stream titel willekeurige HTML injecteren in de /streamer pagina en de “Live streams” widget op de homepage, ondanks de aanwezigheid van CSP. Dit probleem treft versies van de Lila Chess Server tot en met 0d5002696ae7. Een patch is beschikbaar in versie 0d5002696ae7.
CVE-2026-35208 in Lichess stelt goedgekeurde streamers in staat om willekeurige HTML in de /streamer pagina's en de ‘Live streams’ widget op de homepage te injecteren. Dit wordt bereikt door hun streamtitels op Twitch of YouTube te manipuleren. Hoewel Lichess een Content Security Policy (CSP) implementeert die de uitvoering van inline scripts blokkeert, blijft de kwetsbaarheid bestaan als een server-side HTML injectie punt. Een aanvaller heeft een Lichess account nodig dat voldoet aan de standaard eisen voor streamers en goedgekeurd wordt, wat betekent dat het account een bepaalde leeftijd moet hebben (volgens Streamer.canApply). HTML injectie kan worden gebruikt om kwaadaardige inhoud weer te geven, gebruikers om te leiden naar ongewenste websites of andere schadelijke acties uit te voeren binnen de context van Lichess.
Een kwaadwillende streamer kan deze kwetsbaarheid uitbuiten om HTML in de stream pagina en de live streams widget op de Lichess homepage te injecteren. De aanvaller heeft een goedgekeurd streamer account nodig. Zodra goedgekeurd, kan de streamer hun streamtitel op Twitch of YouTube manipuleren om kwaadaardige HTML code te bevatten. Deze HTML code zal worden weergegeven op de /streamer pagina en in de live streams widget, wat gebruikers die deze pagina's bezoeken mogelijk beïnvloedt. De CSP blokkeert de uitvoering van scripts, maar staat HTML injectie toe, waardoor visuele manipulatie en mogelijk omleiding mogelijk is.
Exploit Status
EPSS
0.07% (21% percentiel)
CISA SSVC
Lichess heeft een fix (commit 0d5002696ae705e1888bf77de107c73de57bb1b3) geïmplementeerd om deze kwetsbaarheid aan te pakken. De primaire mitigatie omvat een robuustere validatie en sanitatie van streamtitels voordat ze in webpagina's worden opgenomen. Lichess-gebruikers worden geadviseerd om ervoor te zorgen dat ze de nieuwste versie van de website gebruiken om te profiteren van deze fix. Streamers worden ook geadviseerd om het vermijden van potentieel schadelijke of ongewenste inhoud in hun streamtitels, als voorzorgsmaatregel, zelfs nadat de kwetsbaarheid is gepatcht. Het Lichess team blijft de beveiliging van het platform monitoren en verbeteren.
Actualizar a la versión 0d5002696ae705e1888bf77de107c73de57bb1b3 o superior para evitar la inyección de HTML no sanitizado en los títulos de los streams y el widget de streams en vivo. La actualización corrige la forma en que Lichess maneja los títulos de los streams, asegurando que el HTML inyectado sea correctamente sanitizado antes de ser renderizado en la interfaz de usuario.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een identificatie voor een beveiligingslek in Lichess dat willekeurige HTML injectie mogelijk maakt.
Het kan leiden tot de weergave van ongewenste of potentieel schadelijke inhoud op stream pagina's en de live streams widget.
Ja, Lichess heeft een fix uitgebracht om dit beveiligingslek aan te pakken. Zorg ervoor dat u de nieuwste versie van de website gebruikt.
Zorg ervoor dat uw browser up-to-date is en gebruik de nieuwste versie van Lichess. Wees voorzichtig met verdachte links die u op de stream pagina vindt.
Nee, het is niet nodig om een nieuw account aan te maken. De fix wordt toegepast op alle gebruikers die de nieuwste versie van Lichess gebruiken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.