<!DOCTYPE html>
<html>
  <head>

    <meta http-equiv="content-type" content="text/html; charset=UTF-8">
  </head>
  <body>
    Buenos días,
    <div class="moz-forward-container">
      <p>OpenGnsys publica un parche de seguridad para la versión 1.1.1d
        y anteriores que resuelve las siguientes vulnerabilidades
        notificadas por INCIBE:</p>
      <p>    * CVE-2024-3707: vulnerabilidad de exposición de
        información en OpenGnsys que afecta a la versión 1.1.1d
        (Espeto).<br>
            Esta vulnerabilidad permite a un atacante inyectar código
        SQL malicioso en la página de inicio de sesión para saltársela<br>
            o incluso recuperar toda la información almacenada en la
        base de datos.<br>
        <br>
            * CVE-2024-3706: vulnerabilidad de exposición de información
        en OpenGnsys que afecta a la versión 1.1.1d (Espeto).<br>
            Esta vulnerabilidad permite a un atacante enviar una
        solicitud POST al endpoint '/opengnsys/images/M_Iconos.php'<br>
            modificando la extensión del archivo, debido a la falta de
        verificación de la extensión del archivo,<br>
            lo que resulta en una inyección de webshell.<br>
        <br>
            * CVE-2024-3705: vulnerabilidad de carga de archivos sin
        restricciones en OpenGnsys que afecta a la versión 1.1.1d
        (Espeto).<br>
            Esta vulnerabilidad permite a un atacante ver un archivo de
        respaldo php (controlacceso.php-LAST) donde<br>
            se almacenan las credenciales de la base de datos.<br>
        <br>
            * CVE-2024-3704: vulnerabilidad de inyección SQL en el
        producto OpenGnsys que afecta a la versión 1.1.1d (Espeto).<br>
            Esta vulnerabilidad permite a un atacante enumerar todos los
        archivos en el árbol web accediendo a un archivo php.<br>
      </p>
      <p>El parche de seguridad se puede bajar de <a
          class="moz-txt-link-freetext"
href="https://urldefense.com/v3/__https://opengnsys.es/trac/downloads/CVE-2024-370X-parche_seguridad.tgz__;!!D9dNQwwGXtA!Ryg6jxngxRd2nlFulJKyUCRG6NA7IwKAeJNCAMCRAkVqTvQ9-_6rRSAohPGEcYMl4dtudlH83_0KUYp0emmHEODWfXsmMY22s0q5kA$"
          moz-do-not-send="true">https://opengnsys.es/trac/downloads/CVE-2024-370X-parche_seguridad.tgz</a>.</p>
      <p>Para más información consulta la <a
href="https://urldefense.com/v3/__https://opengnsys.es/web/parche-de-seguridad-cve-2024-370x__;!!D9dNQwwGXtA!Ryg6jxngxRd2nlFulJKyUCRG6NA7IwKAeJNCAMCRAkVqTvQ9-_6rRSAohPGEcYMl4dtudlH83_0KUYp0emmHEODWfXsmMY1UrQyLxQ$"
          moz-do-not-send="true">web de usuarios de OpenGnsys</a>.</p>
      <div class="moz-signature">Saludos</div>
      <div class="moz-signature"> <br>
        <title></title>
        <div class="moz-forward-container"><b>Irina Gómez Gutiérrez</b>
          <div class="moz-signature">
            <div class="moz-forward-container">
              <div class="moz-signature">
                <div class="moz-text-html" lang="x-unicode">
                  <div class="moz-signature">
                    <div class="moz-signature">
                      <div class="gris"
style="margin-bottom: 15px;
                    border-spacing: 5px; line-height: 12px;">
                        <p>Centro de Cálculo</p>
                        <p>E.T.S. de Ingeniería Informática</p>
                        <p>Tlf: 954551665</p>
                      </div>
                      <hr style="border-top: 1px solid #EEE;"> <img
                        src="cid:part1.CoWU1OJB.8poE6M9w@us.es"
                        alt="Logo Universidad de Sevilla"
                        moz-do-not-send="false" class="" width="225"
                        height="109"><br>
                      <br>
                      <div class="us mediano centro"
                        style="background-color: #f3f3f3;"> <a
                          class="negro"
href="https://urldefense.com/v3/__http://www.us.es/__;!!D9dNQwwGXtA!UPo7_jeGTBmXEbcmmGeYCFrnyPZwfcNeCzUpRDSD_2Ijmtlv_jKPQBTPWs-0YUGA_P63pGjyfz_ZR2zbinG0U3xRwA$"
                          target="_blank"
style="margin: 0 auto;
                      text-decoration: none; font-size: 16px;"
                          moz-do-not-send="true"> www.us.es </a> </div>
                      <div>
                        <p class="verde chico">Por favor considere el
                          medio ambiente antes de imprimir este correo
                          electrónico. </p>
                        <p class="chico grisclaro">Este correo
                          electrónico y, en su caso, cualquier fichero
                          anexo al mismo, contiene información de
                          carácter confidencial exclusivamente dirigida
                          a su destinatario o destinatarios. Si no es
                          Vd. el destinatario del mensaje, le ruego lo
                          destruya sin hacer copia digital o física,
                          comunicando al emisor por esta misma vía la
                          recepción del presente mensaje. Gracias</p>
                      </div>
                    </div>
                  </div>
                </div>
              </div>
            </div>
          </div>
        </div>
      </div>
    </div>
  </body>
</html>