Laburpen exekutiboa
SAP NetWeaver Visual Composer Metadata Uploader-en identifikatutako kalteberatasuna kritikoa da, CVSS puntuazioa 10.0 duena. Segurtasun egoera honek sistemaren integritatea, konfidentzialitatea eta eskuragarritasuna arriskuan jarri dezake, agente ez autentifikatuek fitxategi binario exekutagarri potenzialki kaltegarriak kargatzea ahalbidetuz, hau sistema ostalariaren kalte handi batera eraman dezakeena. Bere larritasunagatik, mehatxu hau arintzeko ekintza urgentea behar da. Esplotazioaren arrisku handia darama, sistemaaren eraginkortasuna eta segurtasuna larriki kaltetu ahal izanik, beraz, mitigazio neurriak berehala ezartzea behar dugu.
Eragindako baliabideak
- SAP NetWeaver Visual Composer Metadata Uploader (ez dira bertsioak zehazten)
Azterketa teknikoa
- CVE-2025-31324: SAP NetWeaver Visual Composer Metadata Uploader-ek ez du babes egokia, honek agente ez autentifikatuek fitxategi binario exekutagarri potenzialki kaltegarriak kargatzea ahalbidetzen du, sistema ostalariari kalte handia eragin dezakeena. Honek sistema helburuko konfidentzialitatea, integritatea eta eskuragarritasuna nabarmen kaltetu ahal izanik.
- CWE-434
- CVSS: 10.0 (kritikoa)
- CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
- Explotazioa: Detektatua
Arintzea/Konponbidea
SAP fabrikatzaileak hainbat metodo gomendatzen ditu CVE-2025-31324-en deskribatutako segurtasun arazoari aurre egiteko edo konpontzeko, NetWeaver-ri eragiten diona. Erabiltzaileek fabrikatzaileak emandako argibideak jarraituz mitigazioak aplikatu behar dituzte. Hodei zerbitzuetarako BOD 22-01 gida aplikagarria ere jarraitu behar dute. Mitigazioak ez badira eskuragarri, fabrikatzaileak produktuaren erabilera utzi beharko litzatekeela iradokitzen du. Informazio gehiago lortzeko, erabiltzaileek emandako web orrialdeak bisita ditzakete: https://me.sap.com/notes/3594142 eta https://nvd.nist.gov/vuln/detail/CVE-2025-31324.