XSS-injection via e-post er *ekstremt* alvorleg, og du bør tipse levrandøren om problemet, eventuelt poste på Full Disclosure og håpe på at det blir snappa opp.