CVE-2026-35208 in lilainformazioni

Riassunto

di VulDB • 15/06/2026

lichess.org è un server di scacchi open source, gratuito per sempre e senza pubblicità. Qualsiasi streamer approvato può iniettare HTML arbitrario nella pagina /streamer e nel widget "Live streams" della homepage inserendo markup nel titolo del proprio flusso su Twitch/YouTube. La Content Security Policy (CSP) è presente e blocca l'esecuzione di script inline, ma il problema rimane comunque un punto di ingresso per l'iniezione di HTML lato server (server-side HTML injection). Per sfruttare questa vulnerabilità, un account Lichess deve solo soddisfare i normali requisiti per gli streamer ed essere approvato. Secondo la logica di Streamer.canApply, ciò significa che l'account deve avere più di 2 giorni di vita e aver giocato almeno 15 partite, oppure essere verificato o detenere un titolo riconosciuto. Dopo l'approvazione da parte dei moderatori, una volta che lo streamer va in diretta, Lichess recupera il titolo della piattaforma e lo rende nell'interfaccia utente così com'è (as-is). Non sono necessarie privilegi aggiuntivi oltre a quelli di uno streamer approvato normale. Questa vulnerabilità è stata risolta con l'commit 0d5002696ae705e1888bf77de107c73de57bb1b3.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

01/04/2026

Divulgazione

07/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00299

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!