Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en NMP Web+ de MICROSENS

Fecha de publicación 25/06/2025
Identificador
INCIBE-2025-0340
Importancia
5 - Crítica
Recursos Afectados
  • NMP Web+, versión 3.2.5 y anteriores.
Descripción

Tomer Goldschmidt y Noam Moshe de Claroty Team82 han descubierto 3 vulnerabilidades, 2 de severidad crítica y 1 alta que, en caso de ser explotadas, podrían permitir a un atacante obtener acceso al sistema, sobrescribir ficheros o ejecutar código arbitrario.

Solución

Actualizar NMP Web+ a la versión 3.3.0 para Windows y Linux.

Detalle

Las vulnerabilidades son:

  • CVE-2025-49151: uso de constantes relevantes para la seguridad incrustadas en el código. El producto puede permitir a un atacante, no autenticado, generar Tokens Web JSON (JWT, JSON Web Tokens) falsificados para omitir la autenticación. Esta vulnerabilidad está catalogada como de severidad crítica.
  • CVE-2025-49153: limitación inadecuada de nombre de ruta a un directorio restringido. El producto puede permitir a un atacante, no autenticado, sobrescribir ficheros y ejecutar código arbitrario. Esta vulnerabilidad está catalogada como de severidad crítica.
  • CVE-2025-49152: expiración de sesión insuficiente. El producto tiene Tokens Web JSON (JWT, JSON Web Tokens) que no caducan, lo que puede permitir a un atacante obtener acceso al sistema. Esta vulnerabilidad está catalogada como de severidad alta.
Listado de referencias
CISA (ICSA-25-175-07) - MICROSENS NMP Web+
Etiquetas