pretixから送信されるメールでは、顧客データで置き換えられるプレースホルダを利用できます。例えば、メールテンプレートで{name}が使用されている場合、最終的なメールには購入者の名前が挿入されます。参加者の名前にHTMLやMarkdownの書式が含まれていた場合、その内容がメール内でHTMLとしてレンダリングされていました。この結果、悪意のある書式の名前を用いてリンクや他の書式付きテキストを注入できてしまいます。pretixでは許可されたHTMLタグに対して厳格な許可リスト方式を適用しています。そのため、XSSや同様に危険な攻撃チェーンに悪用されることはありませんでした。しかし、攻撃者はユーザーが提供したコンテンツが信頼できるものであるかのようにメールを操作することができるため、フィッシング目的で悪用される可能性があります。

参考情報を参照して適切な対策を実施してください。