certfr_alerte - certfr-2025-ale-005

CERTFR-2025-ALE-005

Vulnerability from certfr_alerte

Le 24 avril 2025, SAP a publié un bulletin de sécurité relatif à la vulnérabilité CVE-2025-31324 qui permet l'exécution de code arbitraire à distance pour un utilisateur non authentifié. Cette vulnérabilité est provoquée par un contournement de la politique de sécurité qui permet de télécharger des fichiers arbitraires et potentiellement exécutables sur le serveur. Elle impacte le composant Visual Composer development server, non installé par défaut mais fréquemment utilisé.

Le CERT-FR a connaissance de plusieurs compromissions liées à cette vulnérabilité.

L'accès aux détails complets concernant cette vulnérabilité ([1] [2]) nécessite un compte utilisateur pour le support SAP. Le bulletin de sécurité du 8 avril 2025 a été mis à jour pour indiquer cette nouvelle vulnérabilité sans faire mention de son exploitation active.

Identification du composant vulnérable

Il est possible de vérifier que le composant vulnérable Visual Composer development server est activé au travers de l'URL http://hote:port/nwa/sysinfo et de chercher la présence du composant VISUAL COMPOSER FRAMEWORK (VCFRAMEWORK.SCA ou VCFRAMEWORK). Si la ligne indique NO, le composant n'est pas installé.

Solutions

Avant d'appliquer le correctif de sécurité, il est nécessaire de vérifier qu'aucun fichier avec l'extension jsp, java ou class n'est présent dans les dossiers suivants : * C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\root * C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work * C:\usr\sap\<SID>\<InstanceID>\j2ee\cluster\apps\sap.com\irj\servlet_jsp\irj\work\sync

De plus, il est nécessaire de vérifier dans les journaux du serveur web : * des accès à l'URL /developmentserver/metadatauploader via une requête POST avec un code HTTP 200 sans authentification ; * des accès aux URL de la forme /irj/helper.jsp, /irj/cache.jsp ou /irj/\w{8}.jsp[3].

Enfin il est possible de consulter [4] pour d'autres indicateurs de compromission. Note : Ces indicateurs n'ont pas été qualifiés par le CERT-FR.

Si des fichiers malveillants ou des journaux suspects sont présents : * signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRTs métier et consulter les bons réflexes en cas d'intrusion sur votre système d'information [5] ; * isoler totalement la machine concernée du réseau, vis-à-vis d'Internet comme du réseau interne, afin de limiter les risques de latéralisation ; * en cas d'utilisation d'une appliance virtuelle, réaliser un instantané du système de fichier et de la mémoire vive ; * si possible, éviter d'éteindre la machine afin de conserver les traces nécessaires aux investigations ; * mettre sous séquestre les journaux collectés.

Les correctifs pour le composant Visual Composer Framework 7.50 sont listés et disponibles dans le bulletin de sécurité 3594142 de l'éditeur.

Des mesures de contournements sont proposées par l'éditeur [1].

Impacted products

	Vendor	Product	Description
	SAP	NetWeaver	NetWeaver (Visual Composer development server) versions VCFRAMEWORK 7.50 sans le dernier correctif de sécurité

References

Title

Publication Time

Tags

Bulletin de sécurité SAP april-2025	2025-04-24	vendor-advisory
Bulletin de sécurité SAP 3594142 version 17	2025-04-24	vendor-advisory
Avis CERT-FR CERTFR-2025-AVI-0350 du 25 avril 2025	-	other
[4] Billet de blogue de Reliaquest relatif à l'exploitation de la vulnérabilité CVE-2025-31324	-	other
[5] Les bons réflexes en cas d’intrusion sur un système d’information	-	other
[3] Billet de blogue Rapid7 du 28 avril relatif à la vulnérabilité CVE-2025-31324	-	other
[1] Bulletin de sécurité SAP 3593336 version 5 du 28/04/2025 relatif aux mesures de contournement	-	other
[2] FAQ sur l'exploitation de la vulnérabilité CVE-2025-31324	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "NetWeaver (Visual Composer development server) versions VCFRAMEWORK 7.50 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "NetWeaver",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "",
  "closed_at": "2025-06-24",
  "content": "## Identification du composant vuln\u00e9rable \n\nIl est possible de v\u00e9rifier que le composant vuln\u00e9rable Visual Composer development server est activ\u00e9 au travers de l\u0027URL `http://hote:port/nwa/sysinfo` et de chercher la pr\u00e9sence du composant  `VISUAL COMPOSER FRAMEWORK` (`VCFRAMEWORK.SCA` ou `VCFRAMEWORK`). Si la ligne indique `NO`, le composant n\u0027est pas install\u00e9.\n\n## Solutions\n\nAvant d\u0027appliquer le correctif de s\u00e9curit\u00e9, il est n\u00e9cessaire de v\u00e9rifier qu\u0027aucun fichier avec l\u0027extension `jsp`,  `java` ou `class` n\u0027est pr\u00e9sent dans les dossiers suivants :\n* `C:\\usr\\sap\\\u003cSID\u003e\\\u003cInstanceID\u003e\\j2ee\\cluster\\apps\\sap.com\\irj\\servlet_jsp\\irj\\root`\n* `C:\\usr\\sap\\\u003cSID\u003e\\\u003cInstanceID\u003e\\j2ee\\cluster\\apps\\sap.com\\irj\\servlet_jsp\\irj\\work`\n* `C:\\usr\\sap\\\u003cSID\u003e\\\u003cInstanceID\u003e\\j2ee\\cluster\\apps\\sap.com\\irj\\servlet_jsp\\irj\\work\\sync`\n\nDe plus, il est n\u00e9cessaire de v\u00e9rifier dans les journaux du serveur web : \n* des acc\u00e8s \u00e0 l\u0027URL `/developmentserver/metadatauploader` via une requ\u00eate POST avec un code HTTP 200 sans authentification ;\n* des acc\u00e8s aux URL de la forme `/irj/helper.jsp`, `/irj/cache.jsp` ou `/irj/\\w{8}.jsp`[3].\n\nEnfin il est possible de consulter [4] pour d\u0027autres indicateurs de compromission. *Note : Ces indicateurs n\u0027ont pas \u00e9t\u00e9 qualifi\u00e9s par le CERT-FR.*\n\u003cbr\u003e\u003c/br\u003e\nSi des fichiers malveillants ou des journaux suspects sont pr\u00e9sents : \n* signaler l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR en mettant en copie vos \u00e9ventuels CSIRTs m\u00e9tier et consulter les bons r\u00e9flexes en cas d\u0027intrusion sur votre syst\u00e8me d\u0027information [5] ;\n* isoler totalement la machine concern\u00e9e du r\u00e9seau, vis-\u00e0-vis d\u0027Internet comme du r\u00e9seau interne, afin de limiter les risques de lat\u00e9ralisation ;\n* en cas d\u0027utilisation d\u0027une appliance virtuelle, r\u00e9aliser un instantan\u00e9 du syst\u00e8me de fichier et de la m\u00e9moire vive ;\n* si possible, \u00e9viter d\u0027\u00e9teindre la machine afin de conserver les traces n\u00e9cessaires aux investigations ;\n* mettre sous s\u00e9questre les journaux collect\u00e9s.\n\nLes correctifs pour le composant Visual Composer Framework 7.50 sont list\u00e9s et disponibles dans le bulletin de s\u00e9curit\u00e9 3594142 de l\u0027\u00e9diteur. \n\nDes mesures de contournements sont propos\u00e9es par l\u0027\u00e9diteur [1]. ",
  "cves": [
    {
      "name": "CVE-2025-31324",
      "url": "https://www.cve.org/CVERecord?id=CVE-2025-31324"
    }
  ],
  "initial_release_date": "2025-04-28T00:00:00",
  "last_revision_date": "2025-06-24T00:00:00",
  "links": [
    {
      "title": "Avis CERT-FR CERTFR-2025-AVI-0350 du 25 avril 2025",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0350/"
    },
    {
      "title": "[4] Billet de blogue de Reliaquest relatif \u00e0 l\u0027exploitation de la vuln\u00e9rabilit\u00e9  CVE-2025-31324",
      "url": "https://reliaquest.com/blog/threat-spotlight-reliaquest-uncovers-vulnerability-behind-sap-netweaver-compromise/"
    },
    {
      "title": "[5] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information",
      "url": " https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/ "
    },
    {
      "title": "[3] Billet de blogue Rapid7 du 28 avril relatif \u00e0 la vuln\u00e9rabilit\u00e9 CVE-2025-31324",
      "url": "https://www.rapid7.com/blog/post/2025/04/28/etr-active-exploitation-of-sap-netweaver-visual-composer-cve-2025-31324/"
    },
    {
      "title": "[1] Bulletin de s\u00e9curit\u00e9 SAP 3593336 version 5 du 28/04/2025 relatif aux mesures de contournement",
      "url": "https://me.sap.com/notes/3593336"
    },
    {
      "title": "[2] FAQ sur l\u0027exploitation de la vuln\u00e9rabilit\u00e9 CVE-2025-31324",
      "url": " https://me.sap.com/notes/3596125"
    }
  ],
  "reference": "CERTFR-2025-ALE-005",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2025-04-28T00:00:00.000000"
    },
    {
      "description": " Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2025-06-24T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Le 24 avril 2025, SAP a publi\u00e9 un bulletin de s\u00e9curit\u00e9 relatif \u00e0 la vuln\u00e9rabilit\u00e9 CVE-2025-31324 qui permet l\u0027ex\u00e9cution de code arbitraire \u00e0 distance pour un utilisateur non authentifi\u00e9. Cette vuln\u00e9rabilit\u00e9 est provoqu\u00e9e par un contournement de la politique de s\u00e9curit\u00e9 qui permet de t\u00e9l\u00e9charger des fichiers arbitraires et potentiellement ex\u00e9cutables sur le serveur. Elle impacte le composant *Visual Composer development server*, non install\u00e9 par d\u00e9faut mais fr\u00e9quemment utilis\u00e9.\n\nLe CERT-FR a connaissance de plusieurs compromissions li\u00e9es \u00e0 cette vuln\u00e9rabilit\u00e9. \n\n\nL\u0027acc\u00e8s aux d\u00e9tails complets concernant cette vuln\u00e9rabilit\u00e9 ([1] [2]) n\u00e9cessite un compte utilisateur pour le support SAP. Le bulletin de s\u00e9curit\u00e9 du 8 avril 2025 a \u00e9t\u00e9 mis \u00e0 jour pour indiquer cette nouvelle vuln\u00e9rabilit\u00e9 sans faire mention de son exploitation active.",
  "title": "Vuln\u00e9rabilit\u00e9 dans SAP NetWeaver",
  "vendor_advisories": [
    {
      "published_at": "2025-04-24",
      "title": "Bulletin de s\u00e9curit\u00e9 SAP april-2025",
      "url": " https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2025.html "
    },
    {
      "published_at": "2025-04-24",
      "title": "Bulletin de s\u00e9curit\u00e9 SAP 3594142 version 17",
      "url": "https://me.sap.com/notes/3594142"
    }
  ]
}

CVE-2025-31324 (GCVE-0-2025-31324)

Vulnerability from cvelistv5

Published

2025-04-24 16:50

Modified

2025-07-30 01:36

Severity ?

10.0 (Critical) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CWE

CWE-434 - Unrestricted Upload of File with Dangerous Type

Summary

SAP NetWeaver Visual Composer Metadata Uploader is not protected with a proper authorization, allowing unauthenticated agent to upload potentially malicious executable binaries that could severely harm the host system. This could significantly affect the confidentiality, integrity, and availability of the targeted system.

References

URL

Tags

	https://me.sap.com/notes/3594142
	https://url.sap/sapsecuritypatchday

Impacted products

	Vendor	Product	Version
	SAP_SE	SAP NetWeaver (Visual Composer development server)	Version: VCFRAMEWORK 7.50

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "metrics": [
          {
            "other": {
              "content": {
                "id": "CVE-2025-31324",
                "options": [
                  {
                    "Exploitation": "active"
                  },
                  {
                    "Automatable": "yes"
                  },
                  {
                    "Technical Impact": "total"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2025-04-30T03:56:21.966706Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          },
          {
            "other": {
              "content": {
                "dateAdded": "2025-04-29",
                "reference": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-31324"
              },
              "type": "kev"
            }
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2025-07-30T01:36:14.404Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "references": [
          {
            "tags": [
              "technical-description"
            ],
            "url": "https://onapsis.com/blog/active-exploitation-of-sap-vulnerability-cve-2025-31324/"
          }
        ],
        "timeline": [
          {
            "lang": "en",
            "time": "2025-04-29T00:00:00+00:00",
            "value": "CVE-2025-31324 added to CISA KEV"
          }
        ],
        "title": "CISA ADP Vulnrichment"
      },
      {
        "providerMetadata": {
          "dateUpdated": "2025-05-02T17:13:30.650Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "url": "https://www.theregister.com/2025/04/25/sap_netweaver_patch/"
          },
          {
            "url": "https://www.bleepingcomputer.com/news/security/sap-fixes-suspected-netweaver-zero-day-exploited-in-attacks/"
          },
          {
            "url": "https://onapsis.com/blog/active-exploitation-of-sap-vulnerability-cve-2025-31324/"
          }
        ],
        "title": "CVE Program Container",
        "x_generator": {
          "engine": "ADPogram 0.0.1"
        }
      }
    ],
    "cna": {
      "affected": [
        {
          "defaultStatus": "unaffected",
          "product": "SAP NetWeaver (Visual Composer development server)",
          "vendor": "SAP_SE",
          "versions": [
            {
              "status": "affected",
              "version": "VCFRAMEWORK 7.50"
            }
          ]
        }
      ],
      "descriptions": [
        {
          "lang": "en",
          "supportingMedia": [
            {
              "base64": false,
              "type": "text/html",
              "value": "\u003cp\u003eSAP NetWeaver Visual Composer Metadata Uploader is not protected with a proper authorization, allowing unauthenticated agent to upload potentially malicious executable binaries that could severely harm the host system. This could significantly affect the confidentiality, integrity, and availability of the targeted system.\u003c/p\u003e"
            }
          ],
          "value": "SAP NetWeaver Visual Composer Metadata Uploader is not protected with a proper authorization, allowing unauthenticated agent to upload potentially malicious executable binaries that could severely harm the host system. This could significantly affect the confidentiality, integrity, and availability of the targeted system."
        }
      ],
      "metrics": [
        {
          "cvssV3_1": {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "HIGH",
            "baseScore": 10,
            "baseSeverity": "CRITICAL",
            "confidentialityImpact": "HIGH",
            "integrityImpact": "HIGH",
            "privilegesRequired": "NONE",
            "scope": "CHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H",
            "version": "3.1"
          },
          "format": "CVSS",
          "scenarios": [
            {
              "lang": "en",
              "value": "GENERAL"
            }
          ]
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "cweId": "CWE-434",
              "description": "CWE-434: Unrestricted Upload of File with Dangerous Type",
              "lang": "eng",
              "type": "CWE"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2025-04-24T16:50:27.706Z",
        "orgId": "e4686d1a-f260-4930-ac4c-2f5c992778dd",
        "shortName": "sap"
      },
      "references": [
        {
          "url": "https://me.sap.com/notes/3594142"
        },
        {
          "url": "https://url.sap/sapsecuritypatchday"
        }
      ],
      "source": {
        "discovery": "UNKNOWN"
      },
      "title": "Missing Authorization check in SAP NetWeaver (Visual Composer development server)",
      "x_generator": {
        "engine": "Vulnogram 0.2.0"
      }
    }
  },
  "cveMetadata": {
    "assignerOrgId": "e4686d1a-f260-4930-ac4c-2f5c992778dd",
    "assignerShortName": "sap",
    "cveId": "CVE-2025-31324",
    "datePublished": "2025-04-24T16:50:27.706Z",
    "dateReserved": "2025-03-27T23:02:06.906Z",
    "dateUpdated": "2025-07-30T01:36:14.404Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1"
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted

CERTFR-2025-ALE-005

Vulnerability from certfr_alerte

Identification du composant vulnérable

Solutions

CVE-2025-31324 (GCVE-0-2025-31324)

Vulnerability from cvelistv5

Tags

Sightings

Nomenclature