Eu sei que não importa o quão bem detalhado eu explique, ainda sim você não vai me dar ouvidos. Mas vou dizer do mesmo jeito:

A equipe do GitHub tá certa, isso não é uma vulnerabilidade.

"Eu encontrei um XSS no GitHub"

Não, você não encontrou. O código JS é executado no contexto do S3 Bucket da AWS, não há impacto algum no contexto do GitHub.

Para ser mesmo um XSS você teria que conseguir executar JS na própria página do GitHub e não no S3.

Se for assim você pode criar conta na AWS, upar um SVG no S3 Bucket e depois mandar a URL *.amazonaws.com/* para alguém... E aí? Seria uma vulnerabilidade no S3? Você reportaria isso para a AWS?

"Mas dá para fazer um redirect, o que seria equivalente a um Open Redirect"

Repito a pergunta que acabei de fazer: você reportaria isso para a AWS? Porque dá para fazer upload de um HTML/SVG no S3 bucket e executar JS usando um domínio deles. Você reportaria?

"Mas dá para fazer upload de vários arquivos perigosos e de maneira ilimitada"

Aham, no Google Drive também. Vai reportar isso para a Google?

Não tem nada de errado nisso se é o que eles queriam. Se fosse não proposital, se eles quisessem limitar o upload, aí você estaria certo que seria um bug (mas não uma vulnerabilidade).

"Ahh, mas é vulnerabilidade sim e ponto final!"

Então prove: explore de verdade a vulnerabilidade. Porque alert(1) não gera impacto algum. Faz alguma coisa de verdade: rouba credencial, sei lá.

Faz algo. Se não dá para fazer nada então não é uma vulnerabilidade.

Entenda: toda vulnerabilidade causa algum impacto na segurança de um sistema. Se não causa impacto algum na confidencialidade, integridade e/ou na disponibilidade (famosa CIA triad) então não é uma vulnerabilidade.