Sì, sembra che dovresti essere preoccupato.
Ti suggerisco di dare un'occhiata al foglio di trucchi XSS per i test di OWASP e vedere se puoi ottenere un popup sul tuo sito (indicando che sei vulnerabile a XSS).
Una buona idea è l'inserimento di javascript in un tag immagine:
<img src="javascript:alert('XSS');">
o
<img src=doesnotexist onerror="alert('XSS')">
Se è necessario che gli utenti siano in grado di inviare HTML, è necessario creare un elenco di autorizzazioni per decidere quali tag HTML (e quali attributi all'interno di tali tag) vengono caricati nel DOM e tutto il resto viene visualizzato come testo. Questo può essere davvero complicato, ad esempio <img src="https://...">
potrebbeessereok,ma<imgsrc="javascript:...">
no. Questo diventa rapidamente un gioco di whack-a-mole che probabilmente vincerà il cheat OWASP.
Ad un certo punto, potrebbe essere più semplice passare dall'invio di HTML ad alcuni tipi di librerie standard di markdown (come stackexchange o github) in modo da evitare del tutto l'intero gioco di white list.
TL; DR: se stai consentendo l'HTML arbitrario, probabilmente hai un problema XSS.