Platform
sap
Component
sap-netweaver-visual-composer
Opgelost in
7.50.1
CVE-2025-42977 beschrijft een Directory Traversal kwetsbaarheid in SAP NetWeaver Visual Composer. Deze kwetsbaarheid stelt een aanvaller in staat om, door middel van onvoldoende validatie van invoerpaden, willekeurige bestanden op het systeem te lezen of te wijzigen. De kwetsbaarheid treft versies 7.50–VCBASE 7.50 van SAP NetWeaver Visual Composer. Een patch is beschikbaar in versie 7.50.1.
De Directory Traversal kwetsbaarheid in SAP NetWeaver Visual Composer stelt een succesvolle aanvaller in staat om toegang te krijgen tot gevoelige informatie die op het systeem is opgeslagen. Dit kan configuratiebestanden, broncode, of andere vertrouwelijke gegevens omvatten. De aanvaller kan deze informatie gebruiken om verdere aanvallen uit te voeren, zoals het verkrijgen van toegang tot andere systemen binnen het netwerk of het wijzigen van de functionaliteit van de applicatie. De impact op de vertrouwelijkheid is hoog, terwijl de impact op de integriteit als laag wordt beschouwd, aangezien de kwetsbaarheid primair gericht is op het lezen van bestanden, hoewel modificatie ook mogelijk is.
Op dit moment (2025-06-10) zijn er geen publieke exploit codes bekend voor CVE-2025-42977. De kwetsbaarheid is recentelijk openbaar gemaakt en is opgenomen in het CISA KEV catalogus (status onbekend). De kans op actieve exploitatie is momenteel laag, maar de hoge CVSS score duidt op een potentieel risico. Het is aan te raden om de systemen te monitoren en de patch zo snel mogelijk toe te passen.
Organizations heavily reliant on SAP NetWeaver Visual Composer for custom application development are particularly at risk. Environments with weak access controls or where high-privileged users have broad permissions are also more vulnerable. Shared hosting environments utilizing SAP NetWeaver Visual Composer should be carefully assessed and secured.
• java / server:
find /opt/sap/ -name '*composer*' -type f -print0 | xargs -0 grep -i 'path injection'• java / server:
journalctl -u sapvcs -g "directory traversal"• generic web:
curl -I 'http://<target>/path%2e%2e/../../etc/passwd' -sdisclosure
patch
Exploit Status
EPSS
0.34% (57% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-42977 is het upgraden van SAP NetWeaver Visual Composer naar versie 7.50.1 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de Visual Composer functionaliteit voor gebruikers met hoge privileges. Implementeer strikte toegangscontroles en monitor de systemen op verdachte activiteiten. Controleer de applicatielogboeken op pogingen tot directory traversal. Na de upgrade, verifieer de correcte werking van de applicatie en controleer of de kwetsbaarheid daadwerkelijk is verholpen door het uitvoeren van gecontroleerde tests.
Aplicar las actualizaciones de seguridad proporcionadas por SAP para NetWeaver Visual Composer. Consultar la nota SAP 3610591 para obtener más detalles sobre la actualización y las versiones afectadas. Asegurarse de que todos los usuarios apliquen el parche lo antes posible.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-42977 is a Directory Traversal vulnerability in SAP NetWeaver Visual Composer allowing attackers to read or modify files. It affects versions 7.50–VCBASE 7.50 and has a CVSS score of 7.6 (HIGH).
You are affected if you are running SAP NetWeaver Visual Composer versions 7.50–VCBASE 7.50. Upgrade to 7.50.1 or later to mitigate the risk.
The recommended fix is to upgrade to SAP NetWeaver Visual Composer version 7.50.1 or later. Implement stricter access controls as a temporary workaround if upgrading is not immediately possible.
As of June 10, 2025, there are no known active exploits or campaigns targeting CVE-2025-42977, but it is listed on the CISA KEV catalog.
Refer to the official SAP Security Note for CVE-2025-42977 on the SAP Support Portal. The specific note number will be published by SAP.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.