Вот скажите, является ли уязвимостью тот факт, что в телеграм БОТах с админками вполне сносно работает XSS если указывать банальный код в имя-фамилию пользователя.

Большая часть админок, не фильтрует эти данные и выходит, что можно просто написать Имя: alert(document.cookie)

Зайти в бота, и в админке вуаля



Бага это сервиса или разработчиков, которых даже не предупреждают о таких "возможностях" ?)