今日はhiddenの項目でXSSがあったので、下記の文字列で確認しました。

"><p onmouseover=alert(document.cookie)>XSS</p><input type="hidden"

これでページが崩れないで綺麗に表示されましたよ。

普段使わない機能はメジャーなオープンソースでもXSSがあるんだよね。
トークンもあるし、悪用には向かない場所だからほっといても大丈夫なんだけどさ。

さぁて開発元に連絡しとかないと。