CVE 2025‑34080 y CVE 2025‑34081 en CONPROSYS HMI: XSS y exposición de debug PHP en entornos ICS/OT

🔍 Resumen rápido

Los sistemas HMI CONPROSYS de Contec Co., Ltd. anteriores a la versión 3.7.7 están afectados por dos vulnerabilidades críticas:

1. CVE‑2025‑34080: ejecución reflejada de scripts (XSS) en getqsetting.php.
2. CVE‑2025‑34081: exposición pública de la página phpinfo() sin autenticación.

Ambas pueden comprometer la seguridad en entornos ICS/OT, afectando la confidencialidad, integridad y visibilidad de la infraestructura de control industrial.

🧐 ¿Qué son CVE‑2025‑34080 y CVE‑2025‑34081?

1. CVE‑2025‑34080 (CWE‑79) – XSS reflejado en getqsetting.php, permite a un atacante inyectar scripts que se ejecutan en el navegador del usuario cuando interactúa con la HMI nvd.nist.gov+15nvd.nist.gov+15secalerts.co+15securityvulnerability.iocvedetails.com.
   • CVSS 3.1: 6.1 (Medio) cvedetails.com+5jvndb.jvn.jp+5nvd.nist.gov+5.
2. CVE‑2025‑34081 (CWE‑215) – exposición de phpinfo() sin autenticación, revelando información sensible del entorno PHP github.com+15jvn.jp+15nvd.nist.gov+15.
   • CVSS 3.1: ~7.5 (Alto/Medio) securityvulnerability.io+6jvn.jp+6cvedetails.com+6.

Ambas vulnerabilidades fueron reportadas conjuntamente como parte de JVN#92266386 el 1 de julio de 2025 x.com+14jvn.jp+14jvndb.jvn.jp+14.

📂 Productos y versiones afectados

• CONPROSYS HMI System (CHS) versiones anteriores a 3.7.7 secalerts.co+13jvn.jp+13jvndb.jvn.jp+13.

💣 ¿Cómo funcionan los fallos?

• CVE‑2025‑34080 (XSS)
  1. El atacante envía una petición a getqsetting.php con parámetros manipulados.
  2. El script malicioso se refleja en la respuesta HTML.
  3. Cuando el usuario interactúa, el navegador ejecuta el código inyectado, que puede robar cookies o credenciales x.com+15nvd.nist.gov+15cve.org+15.
• CVE‑2025‑34081 (phpinfo exposure)
  1. La interfaz pública permite acceso directo a phpinfo() sin autenticación.
  2. Exposición de variables de entorno, configuraciones, módulos activos, rutas del sistema, etc. github.com+7nvd.nist.gov+7securityvulnerability.io+7.
  3. Los atacantes pueden usar esa información para preparar ataques dirigidos.

🔐 Mitigación y soluciones

1. Actualizar inmediato a versión 3.7.7 o superior, que corrige ambas vulnerabilidades github.com+15jvn.jp+15secalerts.co+15.
2. Eliminar funciones de debug: si no puedes actualizar, bloquea o restringe el acceso a phpinfo() y otros endpoints de depuración.
3. Control de acceso: sólo permitir interfaces HMI desde segmentos de red confiables o mediante VPN segura.
4. Hardening de navegación: desactivar contenido activo y validar inputs en interfaces web.
5. Monitoreo y auditoría: registrar accesos a endpoints vulnerables, y generar alertas si se detectan peticiones sospechosas.
6. Capacitación: formar al personal sobre riesgos de XSS, exposición de debugging y buenas prácticas de uso de HMI en entornos OT.

📅 Publicación y referencias

• Vulnerabilidades divulgadas el 1 julio 2025, bajo el aviso JVNVU#92266386 cvedetails.com+7securityvulnerability.io+7secalerts.co+7securityvulnerability.io+15jvn.jp+15tenable.com+15.
• Registradas en NVD el mismo día y consolidadas en la base de datos pública securityvulnerability.io+8nvd.nist.gov+8nvd.nist.gov+8.

✅ Conclusión

Ambos fallos representan un riesgo significativo: XSS permite ejecución de scripts no autorizados, y phpinfo() expone información sensible útil para atacantes. Actualizar a la versión 3.7.7 es la acción crítica. Complementa con prácticas de control de acceso, eliminación de debugs, y monitoreo constante para asegurar tus entornos ICS/OT.

En digitalninjutsu.com seguimos vigilando todas las amenazas emergentes en ciberseguridad industrial. Comparte este informe o consulta si necesitas asistencia técnica adicional.