Podatność w komponencie SAP NetWeaver Visual Composer Metadata Uploader umożliwia uprzywilejowanemu użytkownikowi przesłanie złośliwej treści, która po deserializacji może doprowadzić do przejęcia kontroli nad systemem. Ze względu na aktywne wykorzystywanie w atakach (CISA KEV) stanowi krytyczne zagrożenie dla organizacji korzystających z SAP NetWeaver.
▸ Pokaż oryginał (EN)
SAP NetWeaver Visual Composer Metadata Uploader is vulnerable when a privileged user can upload untrusted or malicious content which, when deserialized, could potentially lead to a compromise of confidentiality, integrity, and availability of the host system.
Podatność (CWE-502 — deserialization of untrusted data) polega na tym, że mechanizm przesyłania metadanych w Visual Composer nie weryfikuje w wystarczający sposób wgrywanych danych przed ich deserializacją. Uprzywilejowany użytkownik może przesłać specjalnie spreparowany plik lub dane, które podczas procesu deserializacji zostaną wykonane przez aplikację jako kod. Prowadzi to do wykonania niezaufanego kodu po stronie serwera aplikacyjnego SAP NetWeaver.
Atakujący może uzyskać pełny dostęp do poufnych danych (naruszenie poufności), zmodyfikować lub usunąć dane systemowe (naruszenie integralności) oraz doprowadzić do niedostępności systemu (naruszenie dostępności), w tym potencjalnego przejęcia kontroli nad całym systemem hosta.
Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z SAP Note 3604119 oraz zaleceniami opublikowanymi w ramach SAP Security Patch Day. Ze względu na aktywną eksploatację podatności wdrożenie poprawki powinno mieć charakter priorytetowy.
SAP NetWeaver z komponentem Visual Composer Metadata Uploader — szczegółowe wersje wskazane w referencjach producenta (SAP Note 3604119).
Podatność figuruje w katalogu CISA KEV jako aktywnie eksploatowana. Referencje wskazują na powiązanie z aktywnymi atakami opisanymi przez Onapsis w kontekście CVE-2025-31324 — oba CVE dotyczą tego samego komponentu SAP NetWeaver Visual Composer.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HSap Netweaver
APPSap7.5
CISA KEV — szczegółyi
- Dostawcai
- SAP
- Produkti
- NetWeaver
- Data dodania do KEVi
- 15 maja 2025
- Termin remediation (USA)i
- 5 czerwca 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
SAP NetWeaver Visual Composer Metadata Uploader zawiera lukę deserializacji, która umożliwia uprzywilejowanemu atakującemu naruszenie poufności, integralności i dostępności systemu hosta poprzez deserializację niezaufanej lub złośliwej zawartości.
▸ Pokaż oryginał (EN)
SAP NetWeaver Visual Composer Metadata Uploader contains a deserialization vulnerability that allows a privileged attacker to compromise the confidentiality, integrity, and availability of the host system by deserializing untrusted or malicious content.
Powiązane podatności
SAP NetWeaver: nieautoryzowany upload plików wykonywalnych w Visual Composer
SAP NetWeaver (Visual Composer 7.0 RT) versions - 7.30, 7.31, 7.40, 7.50, without restriction, an attacker aut...
Due to programming error in function module and report, IS-OIL component in SAP ECC and SAP S/4HANA allows an ...
SAP NetWeaver UDDI Server (Services Registry), versions- 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50; allows an a...
SAP NetWeaver 7.0 allows Remote Code Execution and Denial of Service caused by an error in the DiagTraceHex() ...