Facebook Instagram Linkedin X-twitter
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Inyección SQL en productos de Nemon

In Noticias y Avisos CiberseguridadPosted

Inyección SQL en productos de Nemon

Aviso
Recursos Afectados

Nemon Trade Energy y Nemon Trade Energy CRM en las versiones 2.95.55.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad crítica, que afecta a Trade Energy y Trade Energy CRM de Nemon, un software de gestión integral (ERP) para comercializadoras de electricidad y gas. La vulnerabilidad ha sido descubierta por Adrià Alavedra Palacios.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2026-10731: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
Identificador
INCIBE-2026-402

Solución

La vulnerabilidad reportada fue completamente mitigada por el equipo de Nemon el 26/05/2026. No se tiene constancia de que la vulnerabilidad haya sido explotada, ni de que haya tenido impacto alguno sobre clientes o datos gestionados por la plataforma.
Al tratarse de una solución SaaS, la corrección fue aplicada de forma centralizada por Nemon, sin requerir ninguna acción por parte de los clientes. La vulnerabilidad ha sido corregida y no resulta explotable en la actualidad. 

Detalle

CVE-2026-10731: inyección SQL en el parámetro ‘two_steps_auth_code’ procesado por la función ‘twoStepsAuthVerification’ dentro del endpoint /user-login’. Se puede acceder a la funcionalidad de doble factor de autenticación (2FA) sin necesidad de autenticación previa, lo que permite a atacantes no autenticados ejecutar consultas SQL arbitrarias en la base de datos del backend. Una explotación exitosa podría dar lugar a la enumeración de la base de datos, la creación no autorizada de usuarios con privilegios, la modificación o eliminación de información crítica y situaciones de denegación de servicio.

5 – Crítica
Listado de referencias
Nemon Trade Energy | El Software inteligente | Nemon
CRM para el sector energético | Automatización

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-10731 Crítica No Nemon

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.