Мои новые находки в моем любимом проекте :

1️⃣У channel/group была сломана авторизация, и это была самая опасная проблема проекта 😱
room проверяет, что cookie-токен реально состоит в подключении, а channel/group принимают просто id + cookie. Для group этого хватает даже на отправку сообщений. Если получить любой x-auth-token и узнать groupId/channelId (например через @handle), можно читать историю, а в group ещё и писать 😱

2️⃣ Есть stored XSS через markdown-ссылки 😤
parseMarkdown() вставляет URL внутрь href="...", но не экранирует кавычкипи 😯. Потом результат идёт в dangerouslySetInnerHTML. Сообщение вида https://x" onclick="alert(1) может выстрелить в браузере жертвы 😮

❤️🌺 UI обещает автоудаление по неактивности, но в коде есть только запись activity:*. По всему проекту этот ключ дальше нигде не читается и ничего не удаляет 🤭

🕷 Ключи чатов сохраняются в localStorage, а значит XSS, вредное расширение или просто общий компьютер дают доступ к invite-key. Это ещё и резко усиливает пункт с XSS 👨‍💻

🎶 Cookie живёт 24h, но group/channel могут быть постоянными. В итоге владелец через сутки теряет админку, а старые токены не чистятся из connected. Это приводит к ложному счётчику участников, постепенному заполнению capacity и “вечным” мёртвым owner-токенам.

Захват аккаунта по userId
В bootstrapV2Identity можно передать уже существующий userId и добавить новое “доверенное” устройство без link token. То есть зная публичный userId, злоумышленник может подключить свое устройство к чужому v2-аккаунту

Пользуйтесь пока не пофиксил 😱