प्लेटफ़ॉर्म
sap
घटक
sap-netweaver-visual-composer
में ठीक किया गया
7.50.1
CVE-2025-42977 SAP NetWeaver Visual Composer में एक डायरेक्टरी ट्रैवर्सल भेद्यता है। इस भेद्यता के कारण, एक उच्च-विशेषाधिकार प्राप्त उपयोगकर्ता द्वारा प्रदान किए गए इनपुट पथों के अपर्याप्त सत्यापन के कारण, हमलावर मनमाने फ़ाइलों को पढ़ या संशोधित कर सकता है। यह भेद्यता SAP NetWeaver Visual Composer के संस्करण 7.50–VCBASE 7.50 को प्रभावित करती है। संस्करण 7.50.1 में फिक्स उपलब्ध है।
यह भेद्यता हमलावरों को सिस्टम पर मनमाने फ़ाइलों तक पहुंचने और उन्हें संशोधित करने की अनुमति देती है, जिससे गोपनीय डेटा का खुलासा हो सकता है। हमलावर संवेदनशील जानकारी, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, पासवर्ड या अन्य महत्वपूर्ण डेटा तक पहुंच सकता है। इस भेद्यता का शोषण सिस्टम की अखंडता को खतरे में डाल सकता है और संभावित रूप से सिस्टम को समझौता कर सकता है। चूंकि यह एक डायरेक्टरी ट्रैवर्सल भेद्यता है, इसलिए हमलावर सिस्टम के अन्य हिस्सों तक पहुंचने के लिए इसका उपयोग कर सकता है, जिससे संभावित रूप से व्यापक क्षति हो सकती है।
CVE-2025-42977 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च CVSS स्कोर और संभावित प्रभाव के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है। यह भेद्यता सार्वजनिक रूप से ज्ञात है और सार्वजनिक रूप से उपलब्ध शोषण मौजूद हो सकते हैं। CISA ने इस CVE को अपनी KEV सूची में शामिल किया है, जो इसकी गंभीरता को दर्शाता है।
Organizations heavily reliant on SAP NetWeaver Visual Composer for custom application development are particularly at risk. Environments with weak access controls or where high-privileged users have broad permissions are also more vulnerable. Shared hosting environments utilizing SAP NetWeaver Visual Composer should be carefully assessed and secured.
• java / server:
find /opt/sap/ -name '*composer*' -type f -print0 | xargs -0 grep -i 'path injection'• java / server:
journalctl -u sapvcs -g "directory traversal"• generic web:
curl -I 'http://<target>/path%2e%2e/../../etc/passwd' -sdisclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.34% (57% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-42977 के लिए प्राथमिक शमन उपाय SAP NetWeaver Visual Composer को संस्करण 7.50.1 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ायरवॉल नियमों को कॉन्फ़िगर करके या वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके अनधिकृत पहुंच को सीमित करने पर विचार करें। इनपुट सत्यापन को मजबूत करने के लिए अतिरिक्त सुरक्षा उपायों को लागू करें। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, यह सुनिश्चित करने के लिए कि सिस्टम सुरक्षित है।
Aplicar las actualizaciones de seguridad proporcionadas por SAP para NetWeaver Visual Composer. Consultar la nota SAP 3610591 para obtener más detalles sobre la actualización y las versiones afectadas. Asegurarse de que todos los usuarios apliquen el parche lo antes posible.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-42977 SAP NetWeaver Visual Composer में एक भेद्यता है जो हमलावरों को मनमाने फ़ाइलों तक पहुंचने की अनुमति देती है। यह अपर्याप्त इनपुट सत्यापन के कारण होता है।
यदि आप SAP NetWeaver Visual Composer के संस्करण 7.50–VCBASE 7.50 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
SAP NetWeaver Visual Composer को संस्करण 7.50.1 या बाद के संस्करण में अपडेट करें।
CVE-2025-42977 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च CVSS स्कोर के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है।
कृपया SAP सुरक्षा एडवाइजरी के लिए SAP सुरक्षा पोर्टल देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।