Ver CSAF
1. Resumen ejecutivo
CVSS V4 9.3
ATENCIÓN: Explotable remotamente/complejidad de ataque bajo
Proveedor: Microsens
Equipo: NMP Web+
Vulnerabilidades: Uso de constantes con codificación dura y relevantes para la seguridad, expiración insuficiente de la sesión, limitación inadecuada de un nombre de ruta a un directorio restringido (‘traversal de ruta’)
2. Evaluación de riesgos
La explotación exitosa de estas vulnerabilidades podría permitir que un atacante obtenga acceso al sistema, sobrescribe archivos o ejecute código arbitrario.
3. Detalles técnicos
3.1 Productos afectados
Las siguientes versiones de NMP Web+ se ven afectadas:
NMP Web+: Versión 3.2.5 y Prior
3.2 Descripción general de vulnerabilidad
3.2.1 Uso de constantes con codificación dura y relevantes para la seguridad CWE-547
Los productos afectados podrían permitir que un atacante no autenticado genere tokens web JSON forjados (JWT) para evitar la autenticación.
CVE-2025-49151 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS V3 de 9.1; La cadena de vector CVSS es (AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: N).
También se ha calculado una puntuación CVSS V4 paraCVE-2025-49151. Se ha calculado una puntuación base de 9.3; La cadena de vector CVSS es (Por: N/AC: L/AT: N/PR: N/UI: N/VC: H/VI: H/VA: N/SC: N/SI: N/SA: N).
3.2.2 Cambio insuficiente de la sesión CWE-613
Los productos afectados contienen tokens web JSON (JWT) que no caducan, lo que podría permitir que un atacante obtenga acceso al sistema.
CVE-2025-49152 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS V3 de 7.5; La cadena de vector CVSS es (AV: N/AC: L/PR: N/UI: N/S: U/C: N/I: H/A: N).
También se ha calculado una puntuación CVSS V4 paraCVE-2025-49152. Se ha calculado una puntuación base de 8.7; La cadena de vector CVSS es (Por: N/AC: L/AT: N/PR: N/UI: N/VC: N/VI: H/VA: N/SC: N/SI: N/SA: N).
3.2.3 Limitación inadecuada de un nombre de ruta a un directorio restringido (‘traversal de ruta’) CWE-22
Los productos afectados podrían permitir que un atacante no autenticado sobrescriba archivos y ejecute código arbitrario.
CVE-2025-49153 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS V3 de 9.8; La cadena de vector CVSS es (AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H).
También se ha calculado una puntuación CVSS V4 paraCVE-2025-49153. Se ha calculado una puntuación base de 9.3; La cadena de vector CVSS es (Por: N/AC: L/AT: N/PR: N/UI: N/VC: H/VI: H/VA: H/SC: N/SI: N/SA: N).
3.3 Antecedentes
Sectores de infraestructura crítica: Fabricación crítica
Países/áreas desplegadas: Mundial
Ubicación de la sede de la empresa: Alemania
3.4 investigador
Tomer Goldschmidt y Noam Moshe de Claroty Team82 informaron estas vulnerabilidades a CISA.
La Oficina Federal Alemana de Seguridad de la Información (BSI) Bund-Bund asistió a la coordinación con microsens.
4. Mitigaciones
Microsens recomienda a los usuarios actualizar a NMP Web+ versión 3.3.0 para Windows y Linux.
CISA recomienda que los usuarios tomen medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades, como:
Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, asegurando que sean No es accesible desde Internet.
Localice las redes de sistemas de control y los dispositivos remotos detrás de los firewalls y aislarlos de las redes comerciales.
Cuando se requiere acceso remoto, use métodos más seguros, como las redes privadas virtuales (VPN), reconocer las VPN puede tener vulnerabilidades y debe actualizarse a la versión más actualizada disponible. También reconocer que VPN es tan segura como los dispositivos conectados.
CISA recuerda a las organizaciones que realicen un análisis de impacto adecuado y una evaluación de riesgos antes de implementar medidas defensivas.
CISA también proporciona una sección para Control Sistemas Seguridad Prácticas recomendadas en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para leer y descargar, incluida Mejora de los sistemas de control industrial Ciberseguridad con estrategias de defensa en profundidad.
CISA alienta a las organizaciones a implementar estrategias recomendadas de ciberseguridad para Defensa proactiva de los activos del ICS.
La orientación de mitigación adicional y las prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics En el documento de información técnica, ICS-TIP-12-146-01B-Detección de intrusión cibernética dirigida a estrategias.
Las organizaciones que observan sospecha de actividad maliciosa deben seguir procedimientos internos establecidos e informes de informes a CISA para el seguimiento y la correlación contra otros incidentes.
No se ha informado de explotación pública conocida específicamente estas vulnerabilidades a CISA en este momento.
5. Historial de actualización
24 de junio de 2025: publicación inicial