Kritisk sårbarhet i SAP NetWeaver

SAP har publicerat en uppdatering som mitigerar en kritisk nolldagssårbarhet i SAP NetWeaver Visual Composer Metadata Uploader. [1] Sårbarheten påverkar SAP Visual Composer-komponenten i SAP Java-system, som inte är aktiverad som standard.

Sårbarheten har fått beteckningen CVE-2025-31324 och har en CVSS-klassning på 10.0. Ett framgångsrikt utnyttjande av sårbarheten innebär att en oautentiserad angripare kan ladda upp skadliga binärfiler och därmed allvarligt skada systemet. Detta kan påverka systemets konfidentialitet, integritet och tillgänglighet (CIA Triad (Confidentiality, Integrity, Availability)). Genom att utnyttja sårbarheten kan en angripare få full kontroll över sårbara SAP-system. [2]

Påverkade produkter

• SAP NetWeaver (Visual Composer development server)

Rekommendationer

CERT-SE rekommenderar att omgående uppdatera sårbara produkter, samt följa leverantörens anvisningar i övrigt.

Källor

[1] https://nvd.nist.gov/vuln/detail/CVE-2025-31324

[2] https://www.cve.org/CVERecord?id=CVE-2025-31324