MiguelBel/UOC.edu

## UOC.edu
Hola, he encontrado un fallo en la web de la UOC que permite ejecutar código javascript.

Entiendo que usted no es la encargada de solucionarlo pero no he encontrado el email del servicio de informática así que ruego se lo remita a ellos, que sabrán que hacer. Es simplemente escapar los caracteres de la consulta.

La prueba de concepto es:

La url => http://www.uoc.edu/opencms_portal2/opencms/ES/_config/search/index.html?searchWords=holaholahola%3A0%2Bresultats%27%5D%29%3B+alert%28%27xss%27%29%3B+var+i+%3D+%28%5B%27&search_sbm=%A0&searchBase=aG9sYWhvbGFob2xhOjArcmVzdWx0YXRzJ10pOyBhbGVydCgneHNzJyk7IHZhciBpID0gKFsn

O buscar esto en el campo de búsqueda de arriba desde la web principal => holaholahola:0+resultats']); alert('xss'); var i = (['

Un saludo.
	Hola, he encontrado un fallo en la web de la UOC que permite ejecutar código javascript.

	Entiendo que usted no es la encargada de solucionarlo pero no he encontrado el email del servicio de informática así que ruego se lo remita a ellos, que sabrán que hacer. Es simplemente escapar los caracteres de la consulta.

	La prueba de concepto es:

	La url => http://www.uoc.edu/opencms_portal2/opencms/ES/_config/search/index.html?searchWords=holaholahola%3A0%2Bresultats%27%5D%29%3B+alert%28%27xss%27%29%3B+var+i+%3D+%28%5B%27&search_sbm=%A0&searchBase=aG9sYWhvbGFob2xhOjArcmVzdWx0YXRzJ10pOyBhbGVydCgneHNzJyk7IHZhciBpID0gKFsn

	O buscar esto en el campo de búsqueda de arriba desde la web principal => holaholahola:0+resultats']); alert('xss'); var i = (['

	Un saludo.