CVE-2025-59742CVE-2025-59742是AndSoft公司开发的e-TMS(Electronic Transport Management System,电子运输管理系统)v25.03版本中存在的一个高危SQL注入漏洞。该漏洞于2025年10月2日由西班牙国家网络安全研究所(INCIBE)披露,CVSS评分为9.8,属于严重级别。e-TMS是一款广泛应用于物流和运输行业的业务管理系统,用于管理运输订单、车辆调度、货物跟踪等核心业务。
该漏洞位于e-TMS系统的登录模块中,具体路径为'/inc/login/TRACK_REQUESTFRMSQL.ASP',涉及参数名为'USRMAIL'(用户邮箱)。由于该参数在处理用户输入时未进行充分的过滤和参数化处理,攻击者可以通过构造恶意的SQL语句并通过POST请求提交,绕过身份验证机制,直接对后端数据库执行任意SQL操作。
由于该漏洞的攻击向量为网络(AV:N)、攻击复杂度低(AC:L)、无需权限(PR:N)且无需用户交互(UI:N),同时对机密性、完整性和可用性均产生高影响(C:H/I:H/A:H),使得该漏洞极易被远程攻击者利用。攻击者无需任何凭据即可通过网络对目标系统发起攻击,可能导致数据库中存储的敏感运输信息、客户数据、财务记录等被窃取、篡改或删除,对企业运营和数据安全构成严重威胁。
该漏洞的核心技术原理在于AndSoft e-TMS v25.03在处理登录请求时,对'USRMAIL'参数未采用参数化查询或预编译语句,而是直接将用户输入拼接到SQL查询语句中执行,形成了典型的SQL注入漏洞。
具体而言,当用户通过POST请求向'/inc/login/TRACK_REQUESTFRMSQL.ASP'端点提交包含'USRMAIL'字段的数据时,服务器端会将该参数值直接嵌入到后端SQL查询语句中。攻击者可以利用经典的SQL注入技术,如使用单引号(')闭合原始SQL语句的字符串边界,然后通过UNION SELECT语句扩展查询结果集,或使用布尔盲注、时间盲注等技术逐位提取数据库内容。
由于漏洞存在于登录认证流程中,攻击者甚至无需有效凭据即可发起攻击。攻击者可以通过注入如' OR '1'='1' -- 等payload绕过认证检查,或者利用堆叠查询(stacked queries)执行INSERT、UPDATE、DELETE等数据修改操作,实现对数据库的完全控制。该漏洞支持完整的CRUD操作(创建、读取、更新、删除),意味着攻击者不仅可以窃取数据,还可以篡改运输记录、删除关键业务数据,甚至可能通过数据库特性(如MySQL的INTO OUTFILE、xp_cmdshell等)进一步升级攻击,实现远程代码执行。