Podatność w komponencie Visual Composer Metadata Uploader systemu SAP NetWeaver umożliwia nieuwierzytelnionemu atakującemu przesłanie złośliwych plików wykonywalnych bez żadnej autoryzacji. Podatność otrzymała maksymalny wynik CVSS 10.0 i jest aktywnie wykorzystywana w atakach.
▸ Pokaż oryginał (EN)
SAP NetWeaver Visual Composer Metadata Uploader is not protected with a proper authorization, allowing unauthenticated agent to upload potentially malicious executable binaries that could severely harm the host system. This could significantly affect the confidentiality, integrity, and availability of the targeted system.
Komponent Visual Composer Metadata Uploader w SAP NetWeaver nie wymaga uwierzytelnienia ani nie weryfikuje uprawnień przed przyjęciem przesyłanych plików. Atakujący może za pośrednictwem sieci (bez konieczności posiadania konta ani interakcji użytkownika) przesłać potencjalnie złośliwy plik wykonywalny bezpośrednio na serwer hosta. Brak kontroli autoryzacji (CWE-434 — unrestricted upload of file with dangerous type) sprawia, że przesłany plik może zostać uruchomiony w kontekście systemu operacyjnego serwera.
Atakujący może całkowicie przejąć kontrolę nad serwerem — uzyskać pełny dostęp do danych (poufność), modyfikować lub niszczyć zasoby systemu (integralność) oraz doprowadzić do jego niedostępności (dostępność). Skuteczne wykorzystanie podatności może prowadzić do głębokiego naruszenia infrastruktury organizacji.
Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z SAP Security Note 3594142 (https://me.sap.com/notes/3594142) oraz wytycznymi SAP Security Patch Day. Ze względu na aktywną eksploatację w środowisku produkcyjnym aktualizacja powinna być wdrożona priorytetowo; do czasu instalacji łatki należy rozważyć ograniczenie dostępu sieciowego do komponentu Visual Composer.
SAP NetWeaver z komponentem Visual Composer Metadata Uploader — szczegółowe wersje wskazane w referencjach producenta (SAP Security Note 3594142)
Podatność znajduje się na liście CISA KEV jako aktywnie eksploatowana. Według referencji producenta i doniesień branżowych (Onapsis, BleepingComputer, The Register) podatność była wykorzystywana w atakach przed opublikowaniem oficjalnej łatki, co wskazuje na jej status zero-day.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HSap Netweaver
APPSap7.50
CISA KEV — szczegółyi
- Dostawcai
- SAP
- Produkti
- NetWeaver
- Data dodania do KEVi
- 29 kwietnia 2025
- Termin remediation (USA)i
- 20 maja 2025(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dotyczącymi usług chmurowych, lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
SAP NetWeaver Visual Composer Metadata Uploader zawiera lukę umożliwiającą nieograniczone przesyłanie plików, która pozwala niezalogowanemu agentowi na przesłanie potencjalnie złośliwych plików binarnych.
▸ Pokaż oryginał (EN)
SAP NetWeaver Visual Composer Metadata Uploader contains an unrestricted file upload vulnerability that allows an unauthenticated agent to upload potentially malicious executable binaries.
Powiązane podatności
SAP NetWeaver Visual Composer — niebezpieczna deserializacja treści
SAP NetWeaver (Visual Composer 7.0 RT) versions - 7.30, 7.31, 7.40, 7.50, without restriction, an attacker aut...
Due to programming error in function module and report, IS-OIL component in SAP ECC and SAP S/4HANA allows an ...
SAP NetWeaver UDDI Server (Services Registry), versions- 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50; allows an a...
SAP NetWeaver 7.0 allows Remote Code Execution and Denial of Service caused by an error in the DiagTraceHex() ...