Kritische Schwachstelle in SAP NetWeaver
- Warnmeldung
Im SAP-Produkt NetWeaver Visual Composer wurde eine kritische Schwachstelle festgestellt. Ein Patch ist verfügbar, den Betreiber rasch einspielen sollten. Betroffen ist Version 17 von Visual Composer Infrastructure.
© Andreas Prott – stock.adobe.com
Patch verfügbar
Über die kritische Schwachstelle mit der Kennung CVE-2025-31324 können Angreifer ohne Authentifizierung bösartigen Code einschleusen und ausführen. Dies kann zu einer vollständigen Kompromittierung des Systems führen. Die Sicherheitslücke wurde bereits ausgenutzt. SAP schließt die Lücke mit dem Sicherheitshinweis 3594142.
Mögliche Folgen einer Systemkompromittierung:
- Unbefugter Zugriff auf vertrauliche Geschäftsdaten
- Manipulation geschäftskritischer Prozesse
- Unterbrechung wichtiger SAP-Dienste
- Einrichtung einer Persistenz durch die Angreifer im Netzwerk
- Ausdehnung der Kompromittierung auf andere Systeme innerhalb der Infrastruktur
Der Schwachstelle ist der höchstmögliche CVSS-Score von 10/10 zugewiesen. Gründe hierfür:
- Niedrige Angriffskomplexität
- Keine Rechte erforderlich
- Keine Benutzerinteraktion notwendig
Handlungsempfehlungen
Es wird dringend empfohlen, die folgenden Maßnahmen sofort zu ergreifen:
- Implementieren Sie den SAP-Sicherheitshinweis 3594142 so schnell wie möglich.
- Bis der Patch eingespielt wird, schränken Sie den Zugriff auf den Metadata Uploader ein.
- Stellen Sie sicher, dass nur authentifizierte Benutzer Upload-Berechtigungen für SAP-Komponenten haben.
- Für Unternehmen, die Patches nicht sofort einspielen können, hat SAP einen temporären Workaround bereitgestellt, der auf dem Szenario aus KBA 3593336 basiert.