この脆弱性は既に修正されています。
Qiitaは```mathを使うとMathJaxによるディスプレイ数式が使えるが、これに問題があった。
攻撃コード
```math
<script> alert(0) </script>
```
例
<script>alert(0)</script>
やばい。
対応
MathJaxの停止
はやい。報告から10分くらいでこれ。
修正
1時間くらいしたら修正された。
\hrefを用いたJSの実行
@kimama1997 さんが次のようなコードでJavaScriptの実行が可能であることを指摘。
```math
\href{javascript:alert('xss');}{xss}
```
これも修正された。