CVE-2026-35208 in lila
الملخص
بحسب VulDB • 11/05/2026
يُعد lichess.org خادم شطرنج مفتوح المصدر، خالٍ من الإعلانات، ومجاني إلى الأبد. يمكن لأي مُبثِّق (Streamer) معتمد حقن HTML تعسفي في المسار `/streamer` وفي ويدجت "البث المباشر" (Live streams) للصفحة الرئيسية، من خلال وضع علامات (markup) في عنوان بثه على Twitch أو YouTube. رغم وجود سياسة أمن المحتوى (CSP) التي تمنع تنفيذ النصوص البرمجية المضمنة (inline scripts)، إلا أن المشكلة تظل عبارة عن نقطة حقن HTML من جانب الخادم (server-side HTML injection sink). ولتفعيل هذا الثغرة، لا يحتاج حساب Lichess سوى إلى تلبية متطلبات المُبثِّق العادية والحصول على الموافقة. وفقاً لـ `Streamer.canApply`، يعني ذلك أن يكون الحساب أقدم من يومين مع لعب 15 مباراة على الأقل، أو أن يكون حساباً موثقاً أو يحمل لقباً. بعد موافقة المشرف، بمجرد أن يبدأ المُبثِّق البث المباشر، يقوم Lichess بجلب عنوان المنصة وعرضه في واجهة المستخدم كما هو دون أي معالجة إضافية. لا توجد حاجة إلى امتيازات إضافية تتجاوز ملف تعريف المُبثِّق المعتمد العادي. تم إصلاح هذه الثغرة في الالتزام (commit) 0d5002696ae705e1888bf77de107c73de57bb1b3.
Once again VulDB remains the best source for vulnerability data.