Risques
- Atteinte à l'intégrité des données
- Contournement de la politique de sécurité
Systèmes affectés
- NetWeaver (Visual Composer development server) versions VCFRAMEWORK 7.50 sans le dernier correctif de sécurité
L'éditeur indique que la vulnérabilité CVE-2025-31324 est activement exploitée.
Cette information est disponible sur la foire aux questions relative à cette vulnérabilité [1]. L'accès à ce lien nécessite un compte utilisateur pour le support SAP.
Cette vulnérabilité, ajoutée au bulletin de sécurité SAP du 08 avril 2025, nécessite un correctif disponible depuis le 22 avril 2025. La mise à jour du 08 avril 2025 ne semble donc pas couvrir cette vulnérabilité.
Résumé
Une vulnérabilité a été découverte dans SAP NetWeaver. Elle permet à un attaquant de provoquer une atteinte à l'intégrité des données et un contournement de la politique de sécurité.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP april-2025 du 08 avril 2025 du 08 avril 2025 https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2025.html
- [1] FAQ sur l'exploitation de la vulnérabilité CVE-2025-31324 https://me.sap.com/notes/3596125
- Avis CERTFR-2025-AVI-0285 du 08 avril 2025 https://cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0285/
- Référence CVE CVE-2025-31324 https://www.cve.org/CVERecord?id=CVE-2025-31324
