Impatto Sistemico

Critico (75.38)

Sintesi

Rilevato lo sfruttamento in rete di una vulnerabilità critica nella componente NetWeaver Visual Composer Metadata Uploader di SAP, strumento di modellazione visiva usato per lo sviluppo di applicazioni web.

Note : la CVE-2025-31324 risulta essere sfruttata attivamente in rete.

Note : un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2025-31324 risulta disponibile in rete.

Tipologia

• Arbitrary Code Execution
• Arbitrary File Write/Read/Deletion
• Remote Code Execution
• Security Feature Bypass
• Information Disclosure
• Denial of Service

Descrizione e potenziali impatti

È stato recentemente rilevato lo sfruttamento in rete di una vulnerabilità critica nella componente NetWeaver Visual Composer Metadata Uploader di SAP, strumento di modellazione visiva usato per lo sviluppo di applicazioni web. Tale vulnerabilità consentirebbe a un utente malitenzionato non autenticato di caricare file binari eseguibili potenzialmente dannosi con effetti sull’integrita, confidenzialità e disponibilità, compromettendo gravemente il sistema.

Prodotti e/o versioni affette

• Visual Composer Framework, versioni precedenti alla 7.5

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i sistemi seguendo le indicazioni riportate nei bollettini di sicurezza, disponibili nella sezione Riferimenti.

Ove non si utilizzasse la componente VCFramework, il vendor raccomanda di valutare l’implementazione di un workaround temporaneo, che consiste nel disabilitare l’applicazione o di valutarne la disintallazione.