Plataforma
sap
Componente
sap-netweaver-visual-composer
Corrigido em
7.50.1
Uma vulnerabilidade de Directory Traversal foi descoberta no SAP NetWeaver Visual Composer, afetando versões 7.50–VCBASE 7.50. A falha ocorre devido à validação inadequada de caminhos de entrada fornecidos por um usuário com privilégios elevados, permitindo acesso não autorizado a arquivos. A correção está disponível na versão 7.50.1 e a aplicação imediata é recomendada.
Esta vulnerabilidade permite que um atacante, com acesso a um usuário de alta prioridade, explore o sistema para ler ou modificar arquivos arbitrários no servidor. O impacto primário é na confidencialidade dos dados, pois o atacante pode obter acesso a informações sensíveis armazenadas nos arquivos. Embora o impacto na integridade seja considerado baixo, a capacidade de modificar arquivos pode levar a alterações não autorizadas no comportamento do sistema ou à corrupção de dados. A exploração bem-sucedida pode resultar em divulgação de informações confidenciais, como credenciais de usuário, dados de configuração ou informações de negócios proprietárias. A ausência de controles de acesso adequados pode ampliar o alcance do ataque, permitindo que o atacante acesse recursos além do escopo inicial.
A vulnerabilidade foi publicada em 2025-06-10. Não há informações disponíveis sobre a exploração ativa desta vulnerabilidade no momento da publicação. A severidade é classificada como alta (CVSS 7.6). Não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação.
Organizations heavily reliant on SAP NetWeaver Visual Composer for custom application development are particularly at risk. Environments with weak access controls or where high-privileged users have broad permissions are also more vulnerable. Shared hosting environments utilizing SAP NetWeaver Visual Composer should be carefully assessed and secured.
• java / server:
find /opt/sap/ -name '*composer*' -type f -print0 | xargs -0 grep -i 'path injection'• java / server:
journalctl -u sapvcs -g "directory traversal"• generic web:
curl -I 'http://<target>/path%2e%2e/../../etc/passwd' -sdisclosure
patch
Status do Exploit
EPSS
0.34% (percentil 57%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização para a versão 7.50.1 do SAP NetWeaver Visual Composer, que inclui a correção para a falha de Directory Traversal. Se a atualização imediata não for possível, considere implementar medidas de controle de acesso mais rigorosas para restringir o acesso a arquivos sensíveis. Implementar regras de firewall para limitar o acesso à aplicação Visual Composer a partir de redes não confiáveis. Monitore os logs do sistema em busca de atividades suspeitas, como tentativas de acesso a arquivos fora do diretório esperado. Após a atualização, confirme a correção verificando se o acesso a arquivos arbitrários não é mais possível através da interface Visual Composer.
Aplicar las actualizaciones de seguridad proporcionadas por SAP para NetWeaver Visual Composer. Consultar la nota SAP 3610591 para obtener más detalles sobre la actualización y las versiones afectadas. Asegurarse de que todos los usuarios apliquen el parche lo antes posible.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-42977 is a Directory Traversal vulnerability in SAP NetWeaver Visual Composer allowing attackers to read or modify files. It affects versions 7.50–VCBASE 7.50 and has a CVSS score of 7.6 (HIGH).
You are affected if you are running SAP NetWeaver Visual Composer versions 7.50–VCBASE 7.50. Upgrade to 7.50.1 or later to mitigate the risk.
The recommended fix is to upgrade to SAP NetWeaver Visual Composer version 7.50.1 or later. Implement stricter access controls as a temporary workaround if upgrading is not immediately possible.
As of June 10, 2025, there are no known active exploits or campaigns targeting CVE-2025-42977, but it is listed on the CISA KEV catalog.
Refer to the official SAP Security Note for CVE-2025-42977 on the SAP Support Portal. The specific note number will be published by SAP.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.