CVE-2026-35208

Name of the Vulnerable Software and Affected Versions lichess.org (versões afetadas não especificadas)

Description lichess.org, um servidor de xadrez gratuito e de código aberto, apresentava um sink de injeção de HTML no lado do servidor no endpoint /streamer e no widget “Live streams” da página inicial. Streamers aprovados podiam injetar HTML arbitrário incluindo marcação no título de sua transmissão no Twitch ou YouTube. Embora uma Política de Segurança de Conteúdo (CSP) estivesse em vigor para bloquear a execução de scripts inline, a questão permaneceu explorável. Para acionar isso, uma conta Lichess precisava atender aos requisitos de streamer: ter mais de 2 dias e pelo menos 15 jogos jogados, ou ser uma conta verificada/titulada, e receber aprovação de um moderador. Uma vez ao vivo, o Lichess renderizaria o título da plataforma diretamente na interface do usuário.

Recommendations Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.