Mail.ru: [Web ICQ Client] XSS уязвимость в имени пользователя

Domain, site, application: WEB ICQ Client - https://web.icq.com/

Testing environment: Browser (firefox)

Steps to reproduce

1. Устанавливаем имя пользователя, содержащее HTML код
2. Создаем канал/группу, в который приглашаем любого пользователя
3. Разрешаем/Запрещаем писать пользователю

Actual results
В нотификации отображаемой в чате выполнится HTML код указанный в имени пользователя (отсутствует фильтрация).

На сколько понимаю, применение узконаправленное (данные уведомления отображаются только у получателя и отправителя настроек ограничений).

Screencast:
████

P. S.: В клиентском браузере отображается название канала, вместо логина администратора, применившего санкции. Название канала так же может содержать HTML код:
{F702013}

Impact

Выполнение произвольного JS в Web клиенте