lichess.org — это навсегда бесплатный шахматный сервер без рекламы и с открытым исходным кодом. Любой одобренный стример может внедрить произвольный HTML-код в /streamer и виджет «Прямые трансляции» на главной странице, разместив разметку в заголовке своего потока Twitch/YouTube. CSP присутствует и блокирует выполнение встроенных скриптов, но проблема по-прежнему заключается в приемнике внедрения HTML на стороне сервера.
Чтобы это произошло, учетная запись Lichess должна только соответствовать обычным требованиям стримера и быть одобренной. Согласно Streamer.canApply, это означает учетную запись старше 2 дней с минимум 15 играми или подтвержденную/именную учетную запись. После одобрения модератора, как только стример выйдет в эфир, Lichess извлекает название платформы и отображает его в пользовательском интерфейсе как есть.
Никаких дополнительных привилегий, кроме обычного утвержденного профиля стримера, не требуется. Эта уязвимость исправлена коммитом 0d5002696ae705e1888bf77de107c73de57bb1b3.
Показать оригинальное описание (EN)
lichess.org is the forever free, adless and open source chess server. Any approved streamer can inject arbitrary HTML into /streamer and the homepage “Live streams” widget by placing markup in their Twitch/YouTube stream title. CSP is present and blocks inline script execution, but the issue is still a server-side HTML injection sink. To trigger this, a Lichess account only needs to satisfy the normal streamer requirements and get approved. Per Streamer.canApply, that means an account older than 2 days with at least 15 games, or a verified/titled account. After moderator approval, once the streamer goes live, Lichess pulls the platform title and renders it into the UI as-is. No extra privileges are needed beyond a normal approved streamer profile. This vulnerability is fixed with commit 0d5002696ae705e1888bf77de107c73de57bb1b3.
Характеристики атаки
Последствия
Строка CVSS v4.0