[bug] > вместо >

Я так понимаю (в смысле, я код читал, но не запускал), проблема тут в том, что на ЛОРе в тексте и во всем остальном, что есть у сообщения, на этапе первичной обработки экранируется HTML, а для редактирования он перерабатывается обратно. В базе лежит, если я не ошибаюсь, исключительно экранированный HTML. При это экранируется HTML самописным классом, а разэкранируется библиотекой из Apache Commons.

Если это правда, то изменить это так, чтобы не вылезла куча XSS, будет трудно.

Баг же вызван тем, что в сообщениях намеренно допускаются HTML Entities, а не происходит тупого экранирования амперсанда, поэтому преобразование получается не всегда обратимым.

все не так страшно, поправлю