На http://packages.altlinux.org/en/Sisyphus/srpms/lv2core читаю: > More information about LV2 can be found at . Догадываясь про <http://...>, смотрю в пакет: > More information about LV2 can be found at <http://lv2plug.in>. В идеале на сайте ожидаю: > More information about LV2 can be found at <<a href="http://lv2plug.in">http://lv2plug.in</a>>. Насколько понимаю, это может быть XSS vuln через спеки как минимум, что может стать критичным при добавлении аутентификации и особенно r/w действиях через сайт.
Подтвержаю. Это XSS. Хотя сами Ruby on Rails должны эскейпить выхлоп. Надо будет написать тесты для такмх случаем, может выяснится что где-то ещё такое есть.
В старых рельсах почему-то helper simple_format не экранировал выхлоп. В новых просто вырезает. Заэскейпил, теперь будет нормально. Будет в продакшене чуть позже.