CVE-2025-31324

Faille Majeure dans SAP NetWeaver Visual Composer : Risques et Solutions

Une faille de sécurité critique, identifiée sous le code CVE-2025-31324, a été découverte au sein du composant Visual Composer Metadata Uploader de SAP NetWeaver. Cette vulnérabilité découle d’un défaut dans la vérification des autorisations, ouvrant la porte à des attaques par des acteurs malveillants non authentifiés.

Points Clés :

• Nature de la vulnérabilité : Absence de contrôle d’autorisation.
• Acteurs ciblés : SAP NetWeaver Visual Composer Metadata Uploader.
• Impact potentiel : Permet l’upload de binaires exécutables malveillants.

Vulnérabilité Spécifique :

• CVE : CVE-2025-31324
• Mécanisme d’exploitation : Des requêtes POST manipulées peuvent être utilisées pour introduire des “webshells”.

Conséquences d’une Exploitation Réussie :

• Exécution de commandes système.
• Mise en ligne de fichiers non autorisés.
• Prise de contrôle des systèmes compromis.
• Exécution de code à distance.
• Vol potentiel de données sensibles.

Recommandations :

Bien que l’article ne détaille pas explicitement les recommandations, la nature de la vulnérabilité (manque de vérification d’autorisation lors de l’upload) implique fortement la nécessité de mettre en œuvre des contrôles d’accès stricts et de patcher le composant affecté dès que des correctifs sont disponibles. Il est crucial de valider les autorisations avant d’accepter des fichiers uploadés, en particulier ceux ayant des extensions exécutables.

Source