CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2025-42999

SAP NetWeaver Visual Composer — niebezpieczna deserializacja treści

CVSS 9.1v3.1pub. 2025-05-13upd. 2025-10-31

Podatność w komponencie SAP NetWeaver Visual Composer Metadata Uploader umożliwia uprzywilejowanemu użytkownikowi przesłanie złośliwej treści, która po deserializacji może doprowadzić do przejęcia kontroli nad systemem. Ze względu na aktywne wykorzystywanie w atakach (CISA KEV) stanowi krytyczne zagrożenie dla organizacji korzystających z SAP NetWeaver.

Pokaż oryginał (EN)

SAP NetWeaver Visual Composer Metadata Uploader is vulnerable when a privileged user can upload untrusted or malicious content which, when deserialized, could potentially lead to a compromise of confidentiality, integrity, and availability of the host system.

🤖 Analiza AI
Jak działa

Podatność (CWE-502 — deserialization of untrusted data) polega na tym, że mechanizm przesyłania metadanych w Visual Composer nie weryfikuje w wystarczający sposób wgrywanych danych przed ich deserializacją. Uprzywilejowany użytkownik może przesłać specjalnie spreparowany plik lub dane, które podczas procesu deserializacji zostaną wykonane przez aplikację jako kod. Prowadzi to do wykonania niezaufanego kodu po stronie serwera aplikacyjnego SAP NetWeaver.

Skutki

Atakujący może uzyskać pełny dostęp do poufnych danych (naruszenie poufności), zmodyfikować lub usunąć dane systemowe (naruszenie integralności) oraz doprowadzić do niedostępności systemu (naruszenie dostępności), w tym potencjalnego przejęcia kontroli nad całym systemem hosta.

Mitygacja

Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z SAP Note 3604119 oraz zaleceniami opublikowanymi w ramach SAP Security Patch Day. Ze względu na aktywną eksploatację podatności wdrożenie poprawki powinno mieć charakter priorytetowy.

Kogo dotyczy

SAP NetWeaver z komponentem Visual Composer Metadata Uploader — szczegółowe wersje wskazane w referencjach producenta (SAP Note 3604119).

Uwagi

Podatność figuruje w katalogu CISA KEV jako aktywnie eksploatowana. Referencje wskazują na powiązanie z aktywnymi atakami opisanymi przez Onapsis w kontekście CVE-2025-31324 — oba CVE dotyczą tego samego komponentu SAP NetWeaver Visual Composer.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Sap Netweaver

    APP
    Sap
    7.5

CISA KEV — szczegółyi

Dostawcai
SAP
Produkti
NetWeaver
Data dodania do KEVi
15 maja 2025
Termin remediation (USA)i
5 czerwca 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

SAP NetWeaver Visual Composer Metadata Uploader zawiera lukę deserializacji, która umożliwia uprzywilejowanemu atakującemu naruszenie poufności, integralności i dostępności systemu hosta poprzez deserializację niezaufanej lub złośliwej zawartości.

tłumaczenie AI
Pokaż oryginał (EN)

SAP NetWeaver Visual Composer Metadata Uploader contains a deserialization vulnerability that allows a privileged attacker to compromise the confidentiality, integrity, and availability of the host system by deserializing untrusted or malicious content.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 5 czerwca 2025
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2025-31324CRITICAL10.0⚠ KEVPL ✓ten sam produkt

SAP NetWeaver: nieautoryzowany upload plików wykonywalnych w Visual Composer

CVE-2021-38163CRITICAL9.9⚠ KEVten sam produkt

SAP NetWeaver (Visual Composer 7.0 RT) versions - 7.30, 7.31, 7.40, 7.50, without restriction, an attacker aut...

CVE-2023-36922CRITICAL9.1ten sam produkt

Due to programming error in function module and report, IS-OIL component in SAP ECC and SAP S/4HANA allows an ...

CVE-2020-6203CRITICAL9.1ten sam produkt

SAP NetWeaver UDDI Server (Services Registry), versions- 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50; allows an a...

CVE-2011-1517CRITICAL9.8ten sam produkt

SAP NetWeaver 7.0 allows Remote Code Execution and Denial of Service caused by an error in the DiagTraceHex() ...