Múltiples vulnerabilidades en Prevengos de Nedatec Consulting
Fecha de publicación 25/09/2025
Identificador
INCIBE-2025-0517
Importancia
4 - Alta
Recursos Afectados
Prevengos, versiones anteriores a la 2.48.
Descripción
INCIBE ha coordinado la publicación de 2 vulnerabilidades, 1 de severidad alta y 1 de severidad media, que afectan a Prevengos de Nedatec Consulting, un software de gestión de seguridad y salud laboral. Las vulnerabilidades han sido descubiertas por Pedro Gabaldón Juliá, Javier Medina Munuera, Antonio José Gálvez Sánchez, Alejandro Baño Andrés y Álvaro Piñero Laorden.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2025-40698: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
- CVE-2025-40699: CVSS v4.0: 5.6 | CVSS AV:L/AC:L/AT:P/PR:H/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-327
Solución
Las vulnerabilidades han sido solucionadas por el equipo de Nedatec Consulting en la versión 2.48 del portal web del aplicativo, publicada el 18/11/2024.
Detalle
- CVE-2025-40698: vulnerabilidad de inyección SQL en Prevengos v2.44 de Nedatec Consulting. Esta vulnerabilidad permite a un atacante recuperar, crear, actualizar y borrar bases de datos mediante el envío de una petición POST utilizando los parámetros 'mpsCentroin', 'mpsEmpresa', 'mpsProyecto' y 'mpsContrata' en '/servicios/autorizaciones.asmx/mfsRecuperarListado'.
- CVE-2025-40699: vulnerabilidad de uso de un algoritmo criptográfico roto o de riesgo en Prevengos v2.44 de Nedatec Consulting. Esta vulnerabilidad permite a un atacante obtener la contraseña en texto plano invirtiendo el algoritmo criptográfico personalizado que se utiliza para cifrar las contraseñas de la base de datos.
CVE
Explotación
No
Listado de referencias
Etiquetas
