CVE-2025-31324
Mis à jour :
Exploitation de SAP NetWeaver Visual Composer via un téléversement non autorisé
Une vulnérabilité critique, identifiée sous le nom de CVE-2025-31324, a été découverte au sein du composant SAP NetWeaver Visual Composer Metadata Uploader. Elle découle d’un défaut de vérification des autorisations.
Points Clés :
- Nature de la vulnérabilité : Absence de vérification d’autorisation dans la fonctionnalité d’upload de métadonnées.
- Attaquant potentiel : Tout attaquant non authentifié.
- Mécanisme d’attaque : Envoi de requêtes POST malveillantes.
- Conséquences : Téléversement de binaires exécutables potentiellement malveillants, tels que des webshells.
Vulnérabilités :
- CVE-2025-31324 : Absence de vérification d’autorisation permettant l’upload de binaires exécutables.
Impacts Possibles :
- Exécution de commandes système.
- Téléversement de fichiers non autorisés.
- Prise de contrôle des systèmes compromis.
- Exécution de code à distance.
- Vol potentiel de données sensibles.
Recommandations :
Bien que l’article ne détaille pas spécifiquement les recommandations de mitigation, la nature de la vulnérabilité suggère qu’une mise à jour du composant SAP NetWeaver Visual Composer Metadata Uploader, incluant la correction du défaut de vérification d’autorisation, est nécessaire pour prévenir cette exploitation. Il est conseillé aux utilisateurs de SAP de consulter les avis de sécurité officiels de SAP pour connaître les correctifs et les mesures de sécurité appropriées.