CVE-2026-35208 in lila
要約
〜によって VulDB • 2026年05月11日
lichess.orgは、永久に無料で、広告なし、オープンソースのチェスサーバーです。承認されたストリーマーは、Twitch/YouTubeのストリームタイトルにマークアップを配置することで、/streamerおよびホームページの「ライブストリーム」ウィジェットに任意のHTMLを注入できます。CSPが存在しインラインスクリプトの実行をブロックしますが、この問題は依然としてサーバーサイドのHTMLインジェクションシンクです。これをトリガーするには、Lichessアカウントは通常のストリーマー要件を満たし、承認される必要があります。Per Streamer.canApplyによると、これは2日以上経過したアカウントで少なくとも15ゲームをプレイしていること、または認証済み/タイトル付きアカウントであることを意味します。モデレーターの承認後、ストリーマーがライブ配信を開始すると、Lichessはプラットフォームのタイトルを取得し、そのままUIにレンダリングします。通常の承認済みストリーマープロファイル以外に追加の権限は必要ありません。この脆弱性はコミット0d5002696ae705e1888bf77de107c73de57bb1b3で修正されました。
If you want to get best quality of vulnerability data, you may have to visit VulDB.