CVE-2025-59755CVE-2025-59755是AndSoft公司开发的e-TMS(电子运输管理系统)v25.03版本中存在的一个反射型跨站脚本(XSS)漏洞。该漏洞由西班牙国家网络安全研究所(INCIBE)发现并报告,并于2025年10月2日正式公开披露。e-TMS是AndSoft公司提供的一款广泛应用于物流和运输行业的运输管理解决方案,用于管理运输订单、车辆调度、物流跟踪等业务。
该漏洞的CVSS 3.1评分为6.1分,属于中危级别。其CVSS向量为CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N,表明该漏洞可通过网络进行远程利用,攻击复杂度低,无需特殊权限即可发起攻击,但需要受害者进行一定的交互(如点击恶意链接)。漏洞的影响范围涉及机密性和完整性的低级别影响,但可用性不受影响。
漏洞存在于e-TMS的登录页面'/clt/LOGINFRM_CAT.ASP'中,具体涉及多个URL参数,包括'l'、'demo'、'demo2'、'TNTLOGIN'、'UO'和'SuppConn'参数。攻击者可以通过构造包含恶意JavaScript代码的URL,诱使受害者点击该链接,从而在受害者的浏览器上下文中执行任意JavaScript代码。这种攻击方式通常用于窃取用户的会话凭证、劫持用户会话、进行钓鱼攻击或传播恶意软件。
该漏洞是一个典型的反射型XSS漏洞,存在于AndSoft e-TMS v25.03的登录表单页面(/clt/LOGINFRM_CAT.ASP)中。漏洞的根本原因是应用程序在处理用户输入时缺乏充分的验证和过滤,导致用户通过URL参数提交的恶意JavaScript代码被直接嵌入到返回的HTML页面中,并在受害者浏览器中执行。
具体而言,以下六个参数存在XSS漏洞:
1. 'l' 参数
2. 'demo' 参数
3. 'demo2' 参数
4. 'TNTLOGIN' 参数
5. 'UO' 参数
6. 'SuppConn' 参数
这些参数的值在服务器端处理后未经适当的HTML实体编码或输出转义,直接反射回响应页面。攻击者可以构造类似如下的恶意URL:
http://target/clt/LOGINFRM_CAT.ASP?l=<script>alert(document.cookie)</script>
当受害者点击此类恶意链接时,嵌入的JavaScript代码将在受害者的浏览器上下文中执行。由于该漏洞无需认证即可利用(PR:N),攻击者只需要诱使已登录或具有有效会话的用户点击恶意链接即可成功实施攻击。攻击者可利用此漏洞窃取会话Cookie、劫持用户会话、进行钓鱼攻击,或在受害者浏览器中执行其他恶意操作。由于涉及供应链场景(Scope Changed, S:C),攻击的影响可能超出直接受影响的组件范围。