<!DOCTYPE html>
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
</head>
<body>
Buenos días,
<div class="moz-forward-container">
<p>OpenGnsys publica un parche de seguridad para la versión 1.1.1d
y anteriores que resuelve las siguientes vulnerabilidades
notificadas por INCIBE:</p>
<p> * CVE-2024-3707: vulnerabilidad de exposición de
información en OpenGnsys que afecta a la versión 1.1.1d
(Espeto).<br>
Esta vulnerabilidad permite a un atacante inyectar código
SQL malicioso en la página de inicio de sesión para saltársela<br>
o incluso recuperar toda la información almacenada en la
base de datos.<br>
<br>
* CVE-2024-3706: vulnerabilidad de exposición de información
en OpenGnsys que afecta a la versión 1.1.1d (Espeto).<br>
Esta vulnerabilidad permite a un atacante enviar una
solicitud POST al endpoint '/opengnsys/images/M_Iconos.php'<br>
modificando la extensión del archivo, debido a la falta de
verificación de la extensión del archivo,<br>
lo que resulta en una inyección de webshell.<br>
<br>
* CVE-2024-3705: vulnerabilidad de carga de archivos sin
restricciones en OpenGnsys que afecta a la versión 1.1.1d
(Espeto).<br>
Esta vulnerabilidad permite a un atacante ver un archivo de
respaldo php (controlacceso.php-LAST) donde<br>
se almacenan las credenciales de la base de datos.<br>
<br>
* CVE-2024-3704: vulnerabilidad de inyección SQL en el
producto OpenGnsys que afecta a la versión 1.1.1d (Espeto).<br>
Esta vulnerabilidad permite a un atacante enumerar todos los
archivos en el árbol web accediendo a un archivo php.<br>
</p>
<p>El parche de seguridad se puede bajar de <a
class="moz-txt-link-freetext"
href="https://urldefense.com/v3/__https://opengnsys.es/trac/downloads/CVE-2024-370X-parche_seguridad.tgz__;!!D9dNQwwGXtA!Ryg6jxngxRd2nlFulJKyUCRG6NA7IwKAeJNCAMCRAkVqTvQ9-_6rRSAohPGEcYMl4dtudlH83_0KUYp0emmHEODWfXsmMY22s0q5kA$"
moz-do-not-send="true">https://opengnsys.es/trac/downloads/CVE-2024-370X-parche_seguridad.tgz</a>.</p>
<p>Para más información consulta la <a
href="https://urldefense.com/v3/__https://opengnsys.es/web/parche-de-seguridad-cve-2024-370x__;!!D9dNQwwGXtA!Ryg6jxngxRd2nlFulJKyUCRG6NA7IwKAeJNCAMCRAkVqTvQ9-_6rRSAohPGEcYMl4dtudlH83_0KUYp0emmHEODWfXsmMY1UrQyLxQ$"
moz-do-not-send="true">web de usuarios de OpenGnsys</a>.</p>
<div class="moz-signature">Saludos</div>
<div class="moz-signature"> <br>
<title></title>
<div class="moz-forward-container"><b>Irina Gómez Gutiérrez</b>
<div class="moz-signature">
<div class="moz-forward-container">
<div class="moz-signature">
<div class="moz-text-html" lang="x-unicode">
<div class="moz-signature">
<div class="moz-signature">
<div class="gris"
style="margin-bottom: 15px;
border-spacing: 5px; line-height: 12px;">
<p>Centro de Cálculo</p>
<p>E.T.S. de Ingeniería Informática</p>
<p>Tlf: 954551665</p>
</div>
<hr style="border-top: 1px solid #EEE;"> <img
src="cid:part1.CoWU1OJB.8poE6M9w@us.es"
alt="Logo Universidad de Sevilla"
moz-do-not-send="false" class="" width="225"
height="109"><br>
<br>
<div class="us mediano centro"
style="background-color: #f3f3f3;"> <a
class="negro"
href="https://urldefense.com/v3/__http://www.us.es/__;!!D9dNQwwGXtA!UPo7_jeGTBmXEbcmmGeYCFrnyPZwfcNeCzUpRDSD_2Ijmtlv_jKPQBTPWs-0YUGA_P63pGjyfz_ZR2zbinG0U3xRwA$"
target="_blank"
style="margin: 0 auto;
text-decoration: none; font-size: 16px;"
moz-do-not-send="true"> www.us.es </a> </div>
<div>
<p class="verde chico">Por favor considere el
medio ambiente antes de imprimir este correo
electrónico. </p>
<p class="chico grisclaro">Este correo
electrónico y, en su caso, cualquier fichero
anexo al mismo, contiene información de
carácter confidencial exclusivamente dirigida
a su destinatario o destinatarios. Si no es
Vd. el destinatario del mensaje, le ruego lo
destruya sin hacer copia digital o física,
comunicando al emisor por esta misma vía la
recepción del presente mensaje. Gracias</p>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</body>
</html>