Plataforma
sap
Componente
sap-netweaver-visual-composer
Corregido en
7.50.1
La vulnerabilidad de Directory Traversal en SAP NetWeaver Visual Composer (CVE-2025-42977) se debe a una validación insuficiente de las rutas de entrada proporcionadas por un usuario con privilegios elevados. Esto permite a un atacante acceder y potencialmente modificar archivos arbitrarios en el sistema. La vulnerabilidad afecta a las versiones 7.50–VCBASE 7.50 y ha sido resuelta en la versión 7.50.1.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a información confidencial almacenada en el sistema SAP NetWeaver Visual Composer. Esto incluye, pero no se limita a, archivos de configuración, datos de usuario y código fuente. La capacidad de leer o modificar archivos arbitrarios también podría permitir al atacante ejecutar código malicioso en el sistema, comprometiendo aún más la seguridad. La falta de validación adecuada de las rutas de entrada es un error común que puede tener consecuencias graves, similar a otras vulnerabilidades de Directory Traversal observadas en el pasado.
La vulnerabilidad CVE-2025-42977 fue publicada el 10 de junio de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la naturaleza de la vulnerabilidad de Directory Traversal la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear los sistemas SAP NetWeaver Visual Composer para detectar cualquier actividad sospechosa.
Organizations heavily reliant on SAP NetWeaver Visual Composer for custom application development are particularly at risk. Environments with weak access controls or where high-privileged users have broad permissions are also more vulnerable. Shared hosting environments utilizing SAP NetWeaver Visual Composer should be carefully assessed and secured.
• java / server:
find /opt/sap/ -name '*composer*' -type f -print0 | xargs -0 grep -i 'path injection'• java / server:
journalctl -u sapvcs -g "directory traversal"• generic web:
curl -I 'http://<target>/path%2e%2e/../../etc/passwd' -sdisclosure
patch
Estado del Exploit
EPSS
0.34% (57% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-42977 es actualizar SAP NetWeaver Visual Composer a la versión 7.50.1 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos para limitar los privilegios de los usuarios y restringir el acceso a archivos sensibles. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan rutas de archivo sospechosas. Verifique la integridad de los archivos del sistema para detectar cualquier modificación no autorizada.
Aplicar las actualizaciones de seguridad proporcionadas por SAP para NetWeaver Visual Composer. Consultar la nota SAP 3610591 para obtener más detalles sobre la actualización y las versiones afectadas. Asegurarse de que todos los usuarios apliquen el parche lo antes posible.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-42977 is a Directory Traversal vulnerability in SAP NetWeaver Visual Composer allowing attackers to read or modify files. It affects versions 7.50–VCBASE 7.50 and has a CVSS score of 7.6 (HIGH).
You are affected if you are running SAP NetWeaver Visual Composer versions 7.50–VCBASE 7.50. Upgrade to 7.50.1 or later to mitigate the risk.
The recommended fix is to upgrade to SAP NetWeaver Visual Composer version 7.50.1 or later. Implement stricter access controls as a temporary workaround if upgrading is not immediately possible.
As of June 10, 2025, there are no known active exploits or campaigns targeting CVE-2025-42977, but it is listed on the CISA KEV catalog.
Refer to the official SAP Security Note for CVE-2025-42977 on the SAP Support Portal. The specific note number will be published by SAP.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.