Уязвимость была исправлена путём отключения передачи заголовка referrer при загрузке картинки при помощи атрибута referrerpolicy="no-referrer", применённого к img.
Можно было бы установить глобальное правило с помощью meta в index.html, однако в таком случае referrer перестал бы передаваться и на бэкэнд, если бы это было вне тестового кейса.