Valve avrebbe corretto una falla di HTML injection in Counter-Strike 2 che oggi è stata pesantemente abusata per iniettare immagini nelle partite e ottenere gli indirizzi IP degli altri giocatori.

Sebbene inizialmente si pensasse a una falla più grave di Cross Site Scripting (XSS), che consente l’esecuzione di codice JavaScript in un client, è stato accertato che il bug era solo una falla di iniezione HTML, che consentiva l’iniezione di immagini.

Counter-Strike 2 utilizza la Panorama UI di Valve, un’interfaccia utente che incorpora pesantemente CSS, HTML e JavaScript per il layout del design.

Come parte del layout di progettazione, gli sviluppatori possono configurare i campi di input in modo che accettino l’HTML anziché sanificarlo in una stringa normale. Se il campo è abilitato all’HTML, qualsiasi testo immesso sarà reso in output come HTML.