@WallHack, а куда им сообщать об уязвимостях? У них RCE прям на главном домене

Маловато, ага... XSSки, это, практически всегда, medium. Их нужно докручивать до критикалов, как минимум сделав скриншот чужой панели/акка/баланса, атаковав персонал или другого пользователя. По второму непонятно, если это просто сервак с пустым конфлюенсом, то может быть и low. Было дело одному рисёчеру, в скоупе PayPal, RCE попалось, но это была дев приложуха в докере без какого либо импакта, поэтому закономерно дали informative (читай хер с маслом)