Resumen ejecutivo
La vulnerabilidad identificada en SAP NetWeaver Visual Composer Metadata Uploader es crítica, con una puntuación CVSS de 10.0. Esta condición de seguridad pone en riesgo la integridad, confidencialidad y disponibilidad del sistema al permitir la carga de archivos binarios ejecutables potencialmente maliciosos por parte de agentes no autenticados, pudiendo derivar en un daño significativo en el sistema anfitrión. En atención a su gravedad, se precisa tomar acción urgente para mitigar esta amenaza. Conlleva un alto riesgo de explotación que podría afectar seriamente la operatividad y seguridad del sistema, por lo que necesitamos implementar medidas de mitigación de manera inmediata.
Recursos afectados
- SAP NetWeaver Visual Composer Metadata Uploader (no se especifican versiones)
Análisis técnico
- CVE-2025-31324: SAP NetWeaver Visual Composer Metadata Uploader no cuenta con la protección adecuada, lo que permite que agentes no autenticados carguen archivos binarios ejecutables potencialmente maliciosos que podrían dañar gravemente el sistema anfitrión. Esto podría afectar significativamente la confidencialidad, la integridad y la disponibilidad del sistema objetivo.
- CWE-434
- CVSS: 10.0 (crítica)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
- Explotación: Detectada
Mitigación / Solución
El fabricante SAP recomienda varios métodos para mitigar o solucionar el problema de seguridad descrito en CVE-2025-31324, que afecta a NetWeaver. Los usuarios deben aplicar las mitigaciones según las instrucciones proporcionadas por el fabricante. También deben seguir la guía aplicable BOD 22-01 para los servicios en la nube. Si las mitigaciones no están disponibles, el fabricante sugiere que se debe descontinuar el uso del producto. Para obtener más información, los usuarios pueden visitar las páginas web proporcionadas: https://me.sap.com/notes/3594142 y https://nvd.nist.gov/vuln/detail/CVE-2025-31324.