CVE-2026-35208 in lila情報

要約

〜によって VulDB • 2026年05月11日

lichess.orgは、永久に無料で、広告なし、オープンソースのチェスサーバーです。承認されたストリーマーは、Twitch/YouTubeのストリームタイトルにマークアップを配置することで、/streamerおよびホームページの「ライブストリーム」ウィジェットに任意のHTMLを注入できます。CSPが存在しインラインスクリプトの実行をブロックしますが、この問題は依然としてサーバーサイドのHTMLインジェクションシンクです。これをトリガーするには、Lichessアカウントは通常のストリーマー要件を満たし、承認される必要があります。Per Streamer.canApplyによると、これは2日以上経過したアカウントで少なくとも15ゲームをプレイしていること、または認証済み/タイトル付きアカウントであることを意味します。モデレーターの承認後、ストリーマーがライブ配信を開始すると、Lichessはプラットフォームのタイトルを取得し、そのままUIにレンダリングします。通常の承認済みストリーマープロファイル以外に追加の権限は必要ありません。この脆弱性はコミット0d5002696ae705e1888bf77de107c73de57bb1b3で修正されました。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub M

予約する

2026年04月01日

モデレーション

承諾済み

エントリ

VDB-355662

EPSS

0.00299

アクティビティ

非常低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!