Valve съобщи, че е поправила грешка в инжектирането на HTML в Counter-Strike 2, която днес е била широко използвана за инжектиране на изображения в игрите и получаване на IP адреси на други играчи.

Въпреки че първоначално се смяташе, че става въпрос за по-сериозен недостатък на Cross Site Scripting (XSS), който позволява изпълнението на JavaScript код в клиента, беше установено, че грешката е само HTML инжекция, която позволява инжектирането на изображения.

Counter-Strike 2 използва Panorama UI на Valve – потребителски интерфейс, който в голяма степен включва CSS, HTML и JavaScript за оформление на дизайна.

Като част от оформлението на дизайна разработчиците могат да конфигурират полетата за въвеждане да приемат HTML, вместо да го обработват до обикновен низ. Ако полето разрешава HTML, всеки въведен текст ще се визуализира на изхода като HTML.

Днес потребители на Counter-Strike започнаха да съобщават, че  е злоупотребено с недостатък в HTML инжектирането, за да инжектират изображения в панела за гласуване.

Докато недостатъкът беше злоупотребен най-вече за безобидно забавление, други го използваха, за да получат IP адресите на други геймъри в мача. Това беше направено чрез използване на маркера <img> за отваряне на скрипт за отдалечен IP регистратор, който караше IP адресът за всеки играч, който е видял удара за гласуване, да бъде регистриран. Тези IP адреси могат да бъдат използвани злонамерено, като например стартиране на DDoS атаки, за да принудят играчите да прекъснат връзката с мача. Този следобед Valve пусна малка актуализация от 7 MB, която според съобщенията коригира уязвимостта и кара всеки въведен HTML да бъде дезинфекциран до обикновен низ.