CVE-2026-35208 in lilaالمعلومات

الملخص

بحسب VulDB • 11/05/2026

يُعد lichess.org خادم شطرنج مفتوح المصدر، خالٍ من الإعلانات، ومجاني إلى الأبد. يمكن لأي مُبثِّق (Streamer) معتمد حقن HTML تعسفي في المسار `/streamer` وفي ويدجت "البث المباشر" (Live streams) للصفحة الرئيسية، من خلال وضع علامات (markup) في عنوان بثه على Twitch أو YouTube. رغم وجود سياسة أمن المحتوى (CSP) التي تمنع تنفيذ النصوص البرمجية المضمنة (inline scripts)، إلا أن المشكلة تظل عبارة عن نقطة حقن HTML من جانب الخادم (server-side HTML injection sink). ولتفعيل هذا الثغرة، لا يحتاج حساب Lichess سوى إلى تلبية متطلبات المُبثِّق العادية والحصول على الموافقة. وفقاً لـ `Streamer.canApply`، يعني ذلك أن يكون الحساب أقدم من يومين مع لعب 15 مباراة على الأقل، أو أن يكون حساباً موثقاً أو يحمل لقباً. بعد موافقة المشرف، بمجرد أن يبدأ المُبثِّق البث المباشر، يقوم Lichess بجلب عنوان المنصة وعرضه في واجهة المستخدم كما هو دون أي معالجة إضافية. لا توجد حاجة إلى امتيازات إضافية تتجاوز ملف تعريف المُبثِّق المعتمد العادي. تم إصلاح هذه الثغرة في الالتزام (commit) 0d5002696ae705e1888bf77de107c73de57bb1b3.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

01/04/2026

إفشاء

07/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-355662

EPSS

0.00299

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!