Múltiples vulnerabilidades en Prevengos de Nedatec Consulting

Fecha de publicación 25/09/2025

Identificador

INCIBE-2025-0517

Importancia

4 - Alta

Recursos Afectados

Prevengos, versiones anteriores a la 2.48.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades, 1 de severidad alta y 1 de severidad media, que afectan a Prevengos de Nedatec Consulting, un software de gestión de seguridad y salud laboral. Las vulnerabilidades han sido descubiertas por Pedro Gabaldón Juliá, Javier Medina Munuera, Antonio José Gálvez Sánchez, Alejandro Baño Andrés y Álvaro Piñero Laorden.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

CVE-2025-40698: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
CVE-2025-40699: CVSS v4.0: 5.6 | CVSS AV:L/AC:L/AT:P/PR:H/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-327

Solución

Las vulnerabilidades han sido solucionadas por el equipo de Nedatec Consulting en la versión 2.48 del portal web del aplicativo, publicada el 18/11/2024.

Detalle

CVE-2025-40698: vulnerabilidad de inyección SQL en Prevengos v2.44 de Nedatec Consulting. Esta vulnerabilidad permite a un atacante recuperar, crear, actualizar y borrar bases de datos mediante el envío de una petición POST utilizando los parámetros 'mpsCentroin', 'mpsEmpresa', 'mpsProyecto' y 'mpsContrata' en '/servicios/autorizaciones.asmx/mfsRecuperarListado'.
CVE-2025-40699: vulnerabilidad de uso de un algoritmo criptográfico roto o de riesgo en Prevengos v2.44 de Nedatec Consulting. Esta vulnerabilidad permite a un atacante obtener la contraseña en texto plano invirtiendo el algoritmo criptográfico personalizado que se utiliza para cifrar las contraseñas de la base de datos.

CVE

Explotación

Nuevo Fabricante

Nedatec Consulting

Identificador CVE

CVE-2025-40698

Severidad

Alta

Explotación

Nuevo Fabricante

Nedatec Consulting

Identificador CVE