Il bug dell'iniezione HTML di Counter-Strike 2 espone gli indirizzi IP dei giocatori
Il bug dell'iniezione HTML di Counter-Strike 2 espone gli indirizzi IP dei giocatori
Valve has reportedly fixed an HTML injection flaw in CS2 that was heavily abused today to inject images into games and obtain other players' IP addresses.
Valve avrebbe corretto una falla di HTML injection in Counter-Strike 2 che oggi è stata pesantemente abusata per iniettare immagini nelle partite e ottenere gli indirizzi IP degli altri giocatori.
Sebbene inizialmente si pensasse a una falla più grave di Cross Site Scripting (XSS), che consente l'esecuzione di codice JavaScript in un client, è stato accertato che il bug era solo una falla di iniezione HTML, che consentiva l'iniezione di immagini.
Counter-Strike 2 utilizza la Panorama UI di Valve, un'interfaccia utente che incorpora pesantemente CSS, HTML e JavaScript per il layout del design.
Come parte del layout di progettazione, gli sviluppatori possono configurare i campi di input in modo che accettino l'HTML anziché sanificarlo in una stringa normale. Se il campo è abilitato all'HTML, qualsiasi testo immesso sarà reso in output come HTML.