CVE-2025-59735CVE-2025-59735 是 AndSoft 公司开发的 e-TMS(electronic Transport Management System,电子运输管理系统)v25.03 版本中存在的一个高危操作系统命令注入漏洞。该漏洞于 2025 年 10 月 2 日由西班牙国家网络安全研究所(INCIBE)披露,CVSS 3.1 评分高达 9.8 分,属于严重级别漏洞。
AndSoft e-TMS 是一款广泛应用于物流和运输行业的管理系统,用于处理运输订单、车辆调度、货物跟踪等核心业务。由于该系统在物流供应链中的关键地位,一旦被攻击者成功利用,可能导致运输业务中断、敏感业务数据泄露、运输订单被篡改等严重后果。
该漏洞的根本原因在于 e-TMS 应用程序在处理用户通过 POST 请求提交的参数时,未对输入数据进行充分的验证和过滤。攻击者可以通过精心构造的恶意请求,在服务器操作系统层面执行任意命令,从而完全控制受影响的服务器。由于该漏洞无需任何认证即可利用,且无需用户交互,攻击者可以通过自动化工具大规模扫描和攻击互联网上暴露的 e-TMS 实例,攻击门槛极低,危害性极高。
根据 INCIBE 发布的公告,该漏洞是 e-TMS 中多个安全漏洞之一,建议用户尽快关注厂商发布的安全更新并采取相应的防护措施。
CVE-2025-59735 是一个典型的操作系统命令注入(OS Command Injection)漏洞,存在于 AndSoft e-TMS v25.03 的登录框架页面 /clt/LOGINFRM.ASP 中。
漏洞原理:e-TMS 应用程序使用 ASP(Active Server Pages)技术开发,在处理用户登录请求时,接收 POST 提交的数据。其中,名为 'm' 的参数被应用程序接收后,直接传递给了底层操作系统命令执行函数(如 Shell、cmd.exe 等),而没有进行任何输入验证、过滤或转义处理。攻击者可以在 'm' 参数中注入操作系统命令分隔符(如 ;、|、&&、\n 等),从而将恶意命令拼接到原始命令中执行。
利用方式:攻击者无需任何认证凭据,只需向目标服务器的 /clt/LOGINFRM.ASP 端点发送一个精心构造的 HTTP POST 请求,在 'm' 参数中注入恶意操作系统命令即可。服务器在处理该请求时,会将注入的命令作为合法命令的一部分在操作系统层面执行。
由于该漏洞的攻击向量为网络(AV:N)、攻击复杂度低(AC:L)、无需权限(PR:N)、无需用户交互(UI:N),且对机密性、完整性、可用性均产生高影响(C:H/I:H/A:H),攻击者可以利用此漏洞:
1. 在服务器上执行任意系统命令,如读取敏感文件、修改系统配置;
2. 安装恶意软件或后门程序,建立持久化访问;
3. 窃取数据库中的运输业务数据、客户信息等敏感数据;
4. 横向移动至内网其他系统,扩大攻击范围;
5. 对服务器进行破坏性操作,如删除关键数据、加密文件(勒索攻击)。