Open VSX レジストリは、拡張機能アイコンとしてアップロードされたSVGファイルを保存前に正しくサニタイズせず、Content-Security-PolicyやContent-Disposition: attachmentといったセキュリティヘッダーなしでContent-Type: image/svg+xmlとして配信します。これにより、攻撃者は悪意のあるSVGアイコンを用いた拡張機能を公開でき、ユーザーが直接アイコンURLにアクセスした際に保存型クロスサイトスクリプティング（XSS）を引き起こす可能性があります。ローカルストレージを使用する展開環境では、スクリプトはOpen VSXアプリケーションのオリジン内で実行され、セッションを乗っ取ったり認証トークンを窃取したり、不正な拡張機能を公開したりすることが可能です。外部ストレージ（例：S3対応CDNを使用するopen-vsx.org）の場合、実行はストレージのオリジンに制限され影響は軽減されますが、攻撃者が作成したページを通じたフィッシング攻撃や資格情報の収集が依然として許容されます。

ベンダ情報を参照して適切な対策を実施してください。