Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en NMP Web+ de MICROSENS

Fecha de publicación 25/06/2025
Identificador
INCIBE-2025-0340
Importancia
5 - Crítica
Recursos Afectados
  • NMP Web+, versión 3.2.5 y anteriores.
Descripción

Tomer Goldschmidt y Noam Moshe de Claroty Team82 han descubierto 3 vulnerabilidades, 2 de severidad crítica y 1 alta que, en caso de ser explotadas, podrían permitir a un atacante obtener acceso al sistema, sobrescribir ficheros o ejecutar código arbitrario.

Detalle

Las vulnerabilidades son:

  • CVE-2025-49151: uso de constantes relevantes para la seguridad incrustadas en el código. El producto puede permitir a un atacante, no autenticado, generar Tokens Web JSON (JWT, JSON Web Tokens) falsificados para omitir la autenticación. Esta vulnerabilidad está catalogada como de severidad crítica.
  • CVE-2025-49153: limitación inadecuada de nombre de ruta a un directorio restringido. El producto puede permitir a un atacante, no autenticado, sobrescribir ficheros y ejecutar código arbitrario. Esta vulnerabilidad está catalogada como de severidad crítica.
  • CVE-2025-49152: expiración de sesión insuficiente. El producto tiene Tokens Web JSON (JWT, JSON Web Tokens) que no caducan, lo que puede permitir a un atacante obtener acceso al sistema. Esta vulnerabilidad está catalogada como de severidad alta.