El 24 de abril de 2025, SAP reveló una vulnerabilidad crítica (CVE-2025-31324) en su componente NetWeaver Visual Composer Metadata Uploader, con una puntuación CVSS v3.1 de 10.0, la más alta en la escala de gravedad. Esta falla, de tipo CWE-434 (Subida sin restricciones de ficheros peligrosos), podría ser utilizada por atacantes para comprometer completamente sistemas SAP vulnerables.

¿Qué es lo que está en riesgo?

La falla reside en el componente encargado de manejar archivos de metadatos en SAP NetWeaver Visual Composer. En versiones afectadas, el sistema carece de una validación adecuada sobre los archivos que se cargan. Esto permite que actores no autenticados suban binarios maliciosos —por ejemplo, ejecutables— que, una vez procesados, pueden comprometer el sistema operativo subyacente.

Esto implica un riesgo extremo a nivel de:

• Confidencialidad: acceso a información sensible almacenada en la plataforma SAP.
• Integridad: modificación o sabotaje de procesos críticos de negocio.
• Disponibilidad: potencial denegación de servicio al sistema completo.

¿Ya está siendo explotada?

Sí. Según Onapsis, la vulnerabilidad ya está siendo explotada activamente. Se sospecha que incluso fue utilizada como un zero-day en campañas de ataque previas a su divulgación oficial.

PoC: https://github.com/moften/CVE-2025-31324