CVE-2026-35208 represents a server-side HTML injection vulnerability within the Lila Chess Server, specifically affecting approved streamers. This allows malicious actors to inject arbitrary HTML into the /streamer page and the “Live streams” widget on the homepage, potentially leading to content manipulation and user experience degradation. The vulnerability impacts Lichess Chess Server versions up to and including 0d5002696ae705e1888bf77de107c73de57bb1b3, but a patch is available in version 0d5002696ae705e1888bf77de107c73de57bb1b3.
Lichess 中的 CVE-2026-35208 允许已批准的流媒体主播通过操纵他们在 Twitch 或 YouTube 上的流媒体标题,将任意 HTML 注入到 /streamer 页面和主页上的“直播流”小组件中。虽然 Lichess 实施了内容安全策略 (CSP),该策略阻止了内联脚本的执行,但此漏洞仍然是一个服务器端的 HTML 注入点。攻击者需要一个满足标准流媒体要求并获得批准的 Lichess 帐户(根据 Streamer.canApply,帐户需要使用一段时间)。HTML 注入可用于显示恶意内容、将用户重定向到不希望的网站或在 Lichess 上下文中执行其他有害操作。
恶意流媒体主播可以利用此漏洞将 HTML 注入到 Lichess 主页上的流媒体页面和直播流小组件中。攻击者需要一个已批准的流媒体帐户。批准后,流媒体主播可以操纵他们在 Twitch 或 YouTube 上的流媒体标题以包含恶意 HTML 代码。此 HTML 代码将在 /streamer 页面和直播流小组件中呈现,从而可能影响访问这些页面的用户。CSP 阻止了脚本的执行,但允许 HTML 注入,从而可以进行视觉操作和潜在的重定向。
漏洞利用状态
EPSS
0.07% (21% 百分位)
CISA SSVC
Lichess 已经实施了修复程序(commit 0d5002696ae705e1888bf77de107c73de57bb1b3)以解决此漏洞。主要缓解措施包括在将流媒体标题包含在网页中之前,对流媒体标题进行更严格的验证和清理。建议 Lichess 用户使用网站的最新版本以获得此修复。流媒体主播也应避免在流媒体标题中包含潜在的有害或不希望的内容,以防万一,即使在漏洞已修复之后。Lichess 团队将继续监控和改进平台的安全性。
Actualizar a la versión 0d5002696ae705e1888bf77de107c73de57bb1b3 o superior para evitar la inyección de HTML no sanitizado en los títulos de los streams y el widget de streams en vivo. La actualización corrige la forma en que Lichess maneja los títulos de los streams, asegurando que el HTML inyectado sea correctamente sanitizado antes de ser renderizado en la interfaz de usuario.
漏洞分析和关键警报直接发送到您的邮箱。
它是 Lichess 中一种安全漏洞的标识符,允许注入任意 HTML。
可能会导致在流媒体页面和直播流小组件中显示不希望或潜在的恶意内容。
是的,Lichess 已发布修复程序以解决此漏洞。请确保使用网站的最新版本。
请确保您的浏览器已更新,并使用 Lichess 的最新版本。注意在流媒体页面上找到的可疑链接。
不需要创建新帐户。修复程序适用于使用 Lichess 最新版本的用户。