CERTFR-2025-AVI-0350_Vulnérabilité dans SAP NetWeaver
AVIS CERT
CERT-FR
Publié le 25 avril 2025 à 17h04
Objet
Vulnérabilité dans SAP NetWeaver
Référence
CERTFR-2025-AVI-0350
Risques
- Atteinte à l'intégrité des données
- Contournement de la politique de sécurité
Systèmes affectés
- NetWeaver (Visual Composer development server) versions VCFRAMEWORK 7.50 sans le dernier correctif de sécurité
L'éditeur indique que la vulnérabilité CVE-2025-31324 est activement exploitée. Cette information est disponible sur la foire aux questions relative à cette vulnérabilité [1]. L'accès à ce lien nécessite un compte utilisateur pour le support SAP. Cette vulnérabilité, ajoutée au bulletin de sécurité SAP du 08 avril 2025, nécessite un correctif disponible depuis le 22 avril 2025. La mise à jour du 08 avril 2025 ne semble donc pas couvrir cette vulnérabilité.
Résumé
Une vulnérabilité a été découverte dans SAP NetWeaver. Elle permet à un attaquant de provoquer une atteinte à l'intégrité des données et un contournement de la politique de sécurité.