{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"NetWeaver (Visual Composer development server) versions VCFRAMEWORK 7.50 sans le dernier correctif de s\u00e9curit\u00e9","product":{"name":"NetWeaver","vendor":{"name":"SAP","scada":false}}}],"affected_systems_content":"","closed_at":"2025-06-24","content":"## Identification du composant vuln\u00e9rable \n\nIl est possible de v\u00e9rifier que le composant vuln\u00e9rable Visual Composer development server est activ\u00e9 au travers de l'URL `http://hote:port/nwa/sysinfo` et de chercher la pr\u00e9sence du composant `VISUAL COMPOSER FRAMEWORK` (`VCFRAMEWORK.SCA` ou `VCFRAMEWORK`). Si la ligne indique `NO`, le composant n'est pas install\u00e9.\n\n## Solutions\n\nAvant d'appliquer le correctif de s\u00e9curit\u00e9, il est n\u00e9cessaire de v\u00e9rifier qu'aucun fichier avec l'extension `jsp`, `java` ou `class` n'est pr\u00e9sent dans les dossiers suivants :\n* `C:\\usr\\sap\\\\\\j2ee\\cluster\\apps\\sap.com\\irj\\servlet_jsp\\irj\\root`\n* `C:\\usr\\sap\\\\\\j2ee\\cluster\\apps\\sap.com\\irj\\servlet_jsp\\irj\\work`\n* `C:\\usr\\sap\\\\\\j2ee\\cluster\\apps\\sap.com\\irj\\servlet_jsp\\irj\\work\\sync`\n\nDe plus, il est n\u00e9cessaire de v\u00e9rifier dans les journaux du serveur web : \n* des acc\u00e8s \u00e0 l'URL `/developmentserver/metadatauploader` via une requ\u00eate POST avec un code HTTP 200 sans authentification ;\n* des acc\u00e8s aux URL de la forme `/irj/helper.jsp`, `/irj/cache.jsp` ou `/irj/\\w{8}.jsp`[3].\n\nEnfin il est possible de consulter [4] pour d'autres indicateurs de compromission. *Note : Ces indicateurs n'ont pas \u00e9t\u00e9 qualifi\u00e9s par le CERT-FR.*\n

\nSi des fichiers malveillants ou des journaux suspects sont pr\u00e9sents : \n* signaler l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR en mettant en copie vos \u00e9ventuels CSIRTs m\u00e9tier et consulter les bons r\u00e9flexes en cas d'intrusion sur votre syst\u00e8me d'information [5] ;\n* isoler totalement la machine concern\u00e9e du r\u00e9seau, vis-\u00e0-vis d'Internet comme du r\u00e9seau interne, afin de limiter les risques de lat\u00e9ralisation ;\n* en cas d'utilisation d'une appliance virtuelle, r\u00e9aliser un instantan\u00e9 du syst\u00e8me de fichier et de la m\u00e9moire vive ;\n* si possible, \u00e9viter d'\u00e9teindre la machine afin de conserver les traces n\u00e9cessaires aux investigations ;\n* mettre sous s\u00e9questre les journaux collect\u00e9s.\n\nLes correctifs pour le composant Visual Composer Framework 7.50 sont list\u00e9s et disponibles dans le bulletin de s\u00e9curit\u00e9 3594142 de l'\u00e9diteur. \n\nDes mesures de contournements sont propos\u00e9es par l'\u00e9diteur [1]. ","cves":[{"name":"CVE-2025-31324","url":"https://www.cve.org/CVERecord?id=CVE-2025-31324"}],"links":[{"title":"Avis CERT-FR CERTFR-2025-AVI-0350 du 25 avril 2025","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0350/"},{"title":"[4] Billet de blogue de Reliaquest relatif \u00e0 l'exploitation de la vuln\u00e9rabilit\u00e9 CVE-2025-31324","url":"https://reliaquest.com/blog/threat-spotlight-reliaquest-uncovers-vulnerability-behind-sap-netweaver-compromise/"},{"title":"[5] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information","url":" https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/ "},{"title":"[3] Billet de blogue Rapid7 du 28 avril relatif \u00e0 la vuln\u00e9rabilit\u00e9 CVE-2025-31324","url":"https://www.rapid7.com/blog/post/2025/04/28/etr-active-exploitation-of-sap-netweaver-visual-composer-cve-2025-31324/"},{"title":"[1] Bulletin de s\u00e9curit\u00e9 SAP 3593336 version 5 du 28/04/2025 relatif aux mesures de contournement","url":"https://me.sap.com/notes/3593336"},{"title":"[2] FAQ sur l'exploitation de la vuln\u00e9rabilit\u00e9 CVE-2025-31324","url":" https://me.sap.com/notes/3596125"}],"reference":"CERTFR-2025-ALE-005","revisions":[{"description":"Version initiale","revision_date":"2025-04-28T00:00:00.000000"},{"description":" Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2025-06-24T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"Le 24 avril 2025, SAP a publi\u00e9 un bulletin de s\u00e9curit\u00e9 relatif \u00e0 la vuln\u00e9rabilit\u00e9 CVE-2025-31324 qui permet l'ex\u00e9cution de code arbitraire \u00e0 distance pour un utilisateur non authentifi\u00e9. Cette vuln\u00e9rabilit\u00e9 est provoqu\u00e9e par un contournement de la politique de s\u00e9curit\u00e9 qui permet de t\u00e9l\u00e9charger des fichiers arbitraires et potentiellement ex\u00e9cutables sur le serveur. Elle impacte le composant *Visual Composer development server*, non install\u00e9 par d\u00e9faut mais fr\u00e9quemment utilis\u00e9.\n\nLe CERT-FR a connaissance de plusieurs compromissions li\u00e9es \u00e0 cette vuln\u00e9rabilit\u00e9. \n\n\nL'acc\u00e8s aux d\u00e9tails complets concernant cette vuln\u00e9rabilit\u00e9 ([1] [2]) n\u00e9cessite un compte utilisateur pour le support SAP. Le bulletin de s\u00e9curit\u00e9 du 8 avril 2025 a \u00e9t\u00e9 mis \u00e0 jour pour indiquer cette nouvelle vuln\u00e9rabilit\u00e9 sans faire mention de son exploitation active.","title":"Vuln\u00e9rabilit\u00e9 dans SAP NetWeaver","vendor_advisories":[{"published_at":"2025-04-24","title":"Bulletin de s\u00e9curit\u00e9 SAP april-2025","url":" https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2025.html "},{"published_at":"2025-04-24","title":"Bulletin de s\u00e9curit\u00e9 SAP 3594142 version 17","url":"https://me.sap.com/notes/3594142"}]}