Un nuevo aviso de seguridad
Inyección SQL en productos de Nemon
Nemon Trade Energy y Nemon Trade Energy CRM en las versiones 2.95.55.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad crítica, que afecta a Trade Energy y Trade Energy CRM de Nemon, un software de gestión integral (ERP) para comercializadoras de electricidad y gas. La vulnerabilidad ha sido descubierta por Adrià Alavedra Palacios.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2026-10731: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
La vulnerabilidad reportada fue completamente mitigada por el equipo de Nemon el 26/05/2026. No se tiene constancia de que la vulnerabilidad haya sido explotada, ni de que haya tenido impacto alguno sobre clientes o datos gestionados por la plataforma.
Al tratarse de una solución SaaS, la corrección fue aplicada de forma centralizada por Nemon, sin requerir ninguna acción por parte de los clientes. La vulnerabilidad ha sido corregida y no resulta explotable en la actualidad.
CVE-2026-10731: inyección SQL en el parámetro ‘two_steps_auth_code’ procesado por la función ‘twoStepsAuthVerification’ dentro del endpoint ‘/user-login’. Se puede acceder a la funcionalidad de doble factor de autenticación (2FA) sin necesidad de autenticación previa, lo que permite a atacantes no autenticados ejecutar consultas SQL arbitrarias en la base de datos del backend. Una explotación exitosa podría dar lugar a la enumeración de la base de datos, la creación no autorizada de usuarios con privilegios, la modificación o eliminación de información crítica y situaciones de denegación de servicio.