En un sitio noté que estoy comprobando que cuando guardas la configuración de tu perfil después de cambiarla, uno de los parámetros en la solicitud POST es avatar_url.
Me di cuenta de que podía repetir la solicitud POST y cambiar este avatar_url a algo como enlace y ponerlo en el código como esto:
<span class="avatar-user user-avatar" data-name="e" style="background-image: url('http://example.com/malicious.html');"></span>
También lo cambié a javascript: alert (1) y nuevamente lo puse en el código así:
<span class="avatar-user user-avatar" data-name="e" style="background-image: url('javascript:alert\(1\)');"></span>
De hecho, cambia la URL a esto en el código, pero en realidad no lo muestra para la imagen. Parece tener algún filtro para no mostrarlo. Para la imagen de avatar, solo mostrará la primera letra de tu nombre de usuario.
¿Hay alguna manera de que este comportamiento pueda ser explotado para RCE o XSS o algún tipo de ejecución de código? Parece una mala idea aceptar cualquier URL, incluidas aquellas con archivos maliciosos para la URL de avatar, pero supongo que no es así si no la analiza.