Plataforma
javascript
Componente
lila
Corrigido em
0.0.1
A vulnerabilidade CVE-2026-35208 afeta o Lila Chess Server, permitindo que streamers aprovados injetem código HTML arbitrário nos títulos de seus streams Twitch/YouTube, o que é refletido na página inicial do Lichess. Essa injeção, embora mitigada pelo CSP que bloqueia scripts inline, representa um risco de segurança, pois pode ser explorada para alterar a aparência da página e potencialmente induzir usuários ao erro. A vulnerabilidade afeta versões do servidor até 0d5002696ae7, mas foi corrigida nesta versão.
A vulnerabilidade CVE-2026-35208 no Lichess permite que streamers aprovados injetem código HTML arbitrário nas páginas /streamer e no widget “Transmissões ao vivo” na página inicial. Isso é alcançado manipulando os títulos de suas transmissões no Twitch ou YouTube. Embora o Lichess implemente uma Política de Segurança de Conteúdo (CSP) que bloqueia a execução de scripts inline, a vulnerabilidade persiste como um ponto de injeção HTML do lado do servidor. Um atacante precisa de uma conta do Lichess que atenda aos requisitos padrão para streamers e seja aprovada, o que significa que a conta precisa ter uma certa idade (conforme Streamer.canApply). A injeção de HTML pode ser usada para exibir conteúdo malicioso, redirecionar usuários para sites indesejados ou realizar outras ações prejudiciais no contexto do Lichess.
Um streamer malicioso pode explorar esta vulnerabilidade para injetar HTML na página de transmissão e no widget de transmissões ao vivo na página inicial do Lichess. O atacante precisa de uma conta de streamer aprovada. Uma vez aprovado, o streamer pode manipular o título de sua transmissão no Twitch ou YouTube para incluir código HTML malicioso. Este código HTML será renderizado na página /streamer e no widget de transmissões ao vivo, afetando potencialmente os usuários que visitam essas páginas. A CSP bloqueia a execução de scripts, mas permite a injeção de HTML, permitindo a manipulação visual e, potencialmente, o redirecionamento.
Status do Exploit
EPSS
0.07% (percentil 21%)
CISA SSVC
O Lichess implementou uma correção (commit 0d5002696ae705e1888bf77de107c73de57bb1b3) para abordar esta vulnerabilidade. A mitigação principal envolve uma validação e sanitização mais robustas dos títulos das transmissões antes que sejam incluídos nas páginas da web. Os usuários do Lichess são aconselhados a garantir que estão usando a versão mais recente do site para se beneficiarem desta correção. Os streamers também são aconselhados a evitar incluir conteúdo potencialmente prejudicial ou indesejado nos títulos de suas transmissões, como medida de precaução, mesmo após a vulnerabilidade ter sido corrigida. A equipe do Lichess continua monitorando e aprimorando a segurança da plataforma.
Actualizar a la versión 0d5002696ae705e1888bf77de107c73de57bb1b3 o superior para evitar la inyección de HTML no sanitizado en los títulos de los streams y el widget de streams en vivo. La actualización corrige la forma en que Lichess maneja los títulos de los streams, asegurando que el HTML inyectado sea correctamente sanitizado antes de ser renderizado en la interfaz de usuario.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É um identificador para uma vulnerabilidade de segurança no Lichess que permite a injeção de HTML arbitrário.
Pode resultar na exibição de conteúdo indesejado ou potencialmente malicioso nas páginas de transmissão e no widget de transmissões ao vivo.
Sim, o Lichess lançou uma correção para abordar esta vulnerabilidade. Certifique-se de usar a versão mais recente do site.
Certifique-se de que seu navegador está atualizado e use a versão mais recente do Lichess. Tenha cuidado com links suspeitos que você encontrar na página de transmissão.
Não, não é necessário criar uma nova conta. A correção é aplicada a todos os usuários que usam a versão mais recente do Lichess.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.