Вот нашел сейчас пассивный хсс в ипб 2.1.7(на 2.1.4 тоже работает, на остальных не проверял).
При заполнении формы отправки лс, в графу "Заголовок сообщения" пишем:
напрмер:
Жмём предварительный осмотр и вот наш алерт. Удачно использовать багу можно только через Passive Xss tools (предварительно его подправив), т.к. данные принимаются только чрез POST и стоит ограничение на 40 символов.

Passive-Xss-tool by DRON-ANARCHY
и
Passive xss tool by Dg-X (MySQL)