Plateforme
sap
Composant
sap-netweaver-visual-composer
Corrigé dans
7.50.1
Une vulnérabilité de traversal de répertoire a été découverte dans SAP NetWeaver Visual Composer. Cette faille, causée par une validation insuffisante des chemins d'accès fournis par un utilisateur privilégié, permet à un attaquant de lire ou de modifier des fichiers arbitraires sur le système. Les versions affectées sont 7.50–VCBASE 7.50, et une correction est disponible dans la version 7.50.1.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder à des informations sensibles stockées sur le serveur, telles que des fichiers de configuration, des données utilisateur ou du code source. Il est possible de modifier ces fichiers, compromettant l'intégrité du système. L'attaquant pourrait potentiellement obtenir un contrôle total sur le serveur, en fonction des permissions de l'utilisateur privilégié utilisé pour l'attaque. Bien que l'impact sur l'intégrité soit considéré comme faible, la compromission de la confidentialité peut être significative, notamment si des informations sensibles sont exposées.
Cette vulnérabilité a été publiée le 10 juin 2025. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nature de la vulnérabilité de traversal de répertoire et de la disponibilité d'outils permettant de l'exploiter. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour détecter d'éventuelles preuves d'exploitation.
Organizations heavily reliant on SAP NetWeaver Visual Composer for custom application development are particularly at risk. Environments with weak access controls or where high-privileged users have broad permissions are also more vulnerable. Shared hosting environments utilizing SAP NetWeaver Visual Composer should be carefully assessed and secured.
• java / server:
find /opt/sap/ -name '*composer*' -type f -print0 | xargs -0 grep -i 'path injection'• java / server:
journalctl -u sapvcs -g "directory traversal"• generic web:
curl -I 'http://<target>/path%2e%2e/../../etc/passwd' -sdisclosure
patch
Statut de l'Exploit
EPSS
0.34% (percentile 57%)
CISA SSVC
Vecteur CVSS
La mesure la plus efficace pour atténuer cette vulnérabilité est d'appliquer la correction disponible dans la version 7.50.1 de SAP NetWeaver Visual Composer. En attendant l'application de la correction, il est recommandé de restreindre l'accès aux fonctions de Visual Composer qui utilisent des chemins d'accès fournis par l'utilisateur. Mettre en place des contrôles d'accès stricts et surveiller l'activité suspecte sur le système. Si une mise à niveau immédiate n'est pas possible, envisagez de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes malveillantes ciblant la vulnérabilité. Après la mise à niveau, vérifiez que la vulnérabilité a bien été corrigée en tentant d'accéder à des fichiers non autorisés.
Aplicar las actualizaciones de seguridad proporcionadas por SAP para NetWeaver Visual Composer. Consultar la nota SAP 3610591 para obtener más detalles sobre la actualización y las versiones afectadas. Asegurarse de que todos los usuarios apliquen el parche lo antes posible.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-42977 is a Directory Traversal vulnerability in SAP NetWeaver Visual Composer allowing attackers to read or modify files. It affects versions 7.50–VCBASE 7.50 and has a CVSS score of 7.6 (HIGH).
You are affected if you are running SAP NetWeaver Visual Composer versions 7.50–VCBASE 7.50. Upgrade to 7.50.1 or later to mitigate the risk.
The recommended fix is to upgrade to SAP NetWeaver Visual Composer version 7.50.1 or later. Implement stricter access controls as a temporary workaround if upgrading is not immediately possible.
As of June 10, 2025, there are no known active exploits or campaigns targeting CVE-2025-42977, but it is listed on the CISA KEV catalog.
Refer to the official SAP Security Note for CVE-2025-42977 on the SAP Support Portal. The specific note number will be published by SAP.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.