Исправление Deleted, (текущая версия) :
унутре там стоит проверялка урлов, которая не пускает урл с ' кроме как mailto: но там апостроф допускается только в юзеренйме где ничего другого не допускается (какаято упория), потому эту уязвимость просто так не пошатать - но учитывая сколько я там нашел простым поиском использований 'eval(' - то полагаю это вопрос настойчивости, ну также если вдруг в xdg-open - дыра то так тоже можно
Исходная версия Deleted, :
унутре там стоит проверялка урлов, которая не пускает урл с ' кроме как mailto: но там апостроф допускается только в юзеренйме где ничего другого не допускается (какаято упория), потому эту уязвимость просто так не пошатать - но учитывая сколько я там нашел простым поиском использований 'eval(' - то полагаю это вопрос настойчивости