CVE-2025-59759CVE-2025-59759是AndSoft e-TMS v25.03版本中存在的一个反射型跨站脚本(Reflected XSS)漏洞。该漏洞由西班牙国家网络安全研究所(INCIBE)发现并报告,CVSS评分为6.1,属于中危级别。AndSoft e-TMS是一款运输管理系统(TMS),广泛应用于物流和运输行业,用于管理运输订单、车辆调度、物流跟踪等业务。
该漏洞存在于应用的登录页面路径'/clt/LOGINFRM_DELCROIX.ASP'中,涉及多个参数未经过充分的输入验证和输出编码,导致攻击者可以通过构造恶意URL,将JavaScript代码注入到页面中。当受害者点击或访问该恶意链接时,嵌入的恶意脚本将在受害者的浏览器上下文中执行。
由于该漏洞无需认证即可利用(PR:N),且仅通过网络即可发起攻击(AV:N),攻击者可以通过社会工程学手段(如钓鱼邮件、即时消息等)诱导用户点击恶意链接,从而窃取用户的会话凭证、个人信息,或执行其他恶意操作。受影响的参数包括'l'、'demo'、'demo2'、'TNTLOGIN'、'UO'和'SuppConn'等六个参数,覆盖范围较广,增加了漏洞被利用的风险。
此漏洞的披露时间为2025年10月2日,由INCIBE的cve-coordination团队负责协调披露工作。该漏洞的CVSS向量表明其影响范围为变更型(Scope Changed),意味着漏洞的影响超出了易受攻击组件本身,可能影响到其他组件或用户数据。
该漏洞属于典型的反射型XSS漏洞,其根本原因在于AndSoft e-TMS v25.03的登录页面(/clt/LOGINFRM_DELCROIX.ASP)在处理用户输入参数时,未对以下六个参数进行充分的过滤和HTML实体编码:'l'、'demo'、'demo2'、'TNTLOGIN'、'UO'和'SuppConn'。
从技术层面分析,当用户访问包含恶意参数的URL时,服务器端脚本会直接将参数值嵌入到返回的HTML页面中,而没有进行适当的输出编码(如HTML实体编码、JavaScript编码等)。攻击者可以利用这一缺陷,在参数值中注入任意的HTML标签和JavaScript代码。
利用方式如下:
1. 攻击者构造一个包含恶意JavaScript代码的URL,例如在参数中注入`<script>alert(document.cookie)</script>`或更复杂的payload(如窃取cookie、发起钓鱼弹窗、重定向到恶意站点等)。
2. 攻击者通过社会工程学手段(如钓鱼邮件、即时通讯工具等)将恶意URL发送给目标用户。
3. 受害者点击该URL后,浏览器向e-TMS服务器发起请求,服务器将未经编码的参数值直接返回到响应页面中。
4. 浏览器解析返回的HTML,将恶意JavaScript代码作为合法脚本执行。
5. 由于脚本在受害者的会话上下文中执行,攻击者可以窃取会话cookie、获取敏感信息、进行钓鱼攻击,或利用受害者的权限执行其他操作。
该漏洞的攻击复杂度较低(AC:L),无需认证(PR:N),但需要用户交互(UI:R),即需要受害者主动点击恶意链接。漏洞的影响范围为变更型(S:C),意味着漏洞的影响可能超出登录页面组件本身。