CVE‑2025‑31324 es una vulnerabilidad zero‑day crítica (CVSS 10.0) en el componente Visual Composer (VCFRAMEWORK) de SAP NetWeaver, hecha pública el 22 de abril de 2025. SAP lanzó un parche de emergencia el 24 de abril de 2025. SAP NetWeaver Visual Composer suele estar habilitado en los sistemas NetWeaver Java—aunque no esté instalado por defecto—porque permite a los analistas de negocio crear aplicaciones sin escribir código. La vulnerabilidad se observó en fase de explotación activa desde mediados de marzo de 2025: los atacantes desplegaron webshells JSP (ej. helper.jsp, cache.jsp) para mantener la persistencia y ejecutar comandos con los privilegios del proceso SAP del sistema.

Producto	SAP NetWeaver
Fecha	2025-07-31 10:30:37
Información	Parche disponible Explotación activa

Resumen técnico

El fallo deriva de un control de autorización faltante en el endpoint /developmentserver/metadatauploader de Visual Composer, que permite a atacantes no autenticados cargar archivos arbitrarios en el servidor, lo que conlleva una ejecución remota de código (RCE) con los privilegios de la aplicación SAP. Tras la explotación, los atacantes suelen depositar webshells JSP maliciosas en directorios como /j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root/, obteniendo acceso remoto y control total del sistema (tanto en entornos Linux como Windows). El impacto incluye la vulneración completa del entorno SAP: los atacantes pueden ejecutar comandos del sistema, acceder a bases de datos, alterar datos financieros o PII, desplegar ransomware, realizar movimientos laterales en la red y eludir las defensas. Todas las versiones de SAP NetWeaver Java 7.1x y superiores son vulnerables si Visual Composer está presente o habilitado.

Recomendaciones

• Aplicar inmediatamente la SAP Security Note 3594142: proporciona parches de emergencia para corregir la ausencia del control de autorización en Visual Composer.
• Aplicar también la SAP Security Note 3604119, que resuelve una vulnerabilidad adicional de deserialización insegura, eliminando riesgos residuales dejados por el primer parche, incluso si la Note 3594142 ya se ha implementado.
• Si no es posible aplicar el parche, implementar la mitigación “Opción 0”: eliminar completamente la aplicación sap.com/devserver_metadataupload_ear como recomienda SAP. Las soluciones temporales anteriores, opciones 1 y 2, están obsoletas.
• Realizar una evaluación de compromiso utilizando escáneres o herramientas disponibles para identificar Indicadores de Compromiso (IoC); busque archivos .jsp, .java, .class inusuales en los directorios relevantes y nombres conocidos de webshells como helper.jsp o cache.jsp.
• Verificar los logs de acceso HTTP dirigidos al endpoint /developmentserver/metadatauploader para detectar intentos de explotación. Utilizar reconocimiento basado en patrones o nombres de archivo para detectar actividad de webshells.
• Para la defensa de red, implementar protecciones como reglas de firewall o detección basada en firmas para bloquear los intentos de explotación, y utilizar herramientas de detección de activos para identificar endpoints de SAP NetWeaver expuestos.

[Callforaction-THREAT-Footer]