Firefox 用定番RSSリーダ Sage における RSS Script Injection
- Firefox Sage Extension RSS Feed Script Insertion Vulnerability - Advisories - Secunia
- Cross Context Scripting with Sage - GNUCITIZEN
- Taken SPC : Sage に未パッチの XSS 脆弱性
PoC もあり。むー。file:// でスクリプトが動くのは悲しいなぁ。とりあえず、「コンテンツエリアにフィードを読み込む」を無効にしてると大丈夫っぽい。
どうでもいいけど、RSS に対するスクリプトインジェクションを XSS というのはすごく違和感がある今日この頃。