Producto(s) afectado(s):
- SAP NetWeaver Java 7.xx (todas las versiones de soporte SPS) con el componente “Visual Composer Framework” (VCFRAMEWORK) instalado.
Descripción
Se ha reportado una falla crítica de autenticación y autorización en el módulo developmentserver de SAP Visual Composer denominada como CVE-2025-31324, catalogada con puntuación CVSS 10.0 y reportada como estando activamente explotada en entornos de producción desde el 26 de abril de 2025. La misma permite la carga arbitraria de archivos maliciosos a través de solicitudes HTTP/HTTPS al endpoint /developmentserver/metadatauploader.
La explotación exitosa posibilita la ejecución remota de código con los privilegios del usuario SAP <sid>adm, comprometiendo por completo el sistema sin necesidad de autenticación previa.
El impacto de esta vulnerabilidad es el compromiso total de servidores SAP: alteración de datos financieros, exposición de información sensible, despliegue de ransomware y posible paralización de operaciones críticas de negocio.
Indicadores de compromiso (IoCs)
- helper.jsp – SHA256
1f72bd2643995fab4ecf7150b6367fa1b3fab17afd2abed30a98f075e4913087
- cache.jsp – SHA256
794cb0a92f51e1387a6b316b8b5ff83d33a51ecf9bf7cc8e88a619ecb64f1dcf
Mitigacíon
- Para entornos donde no sea viable parchear de inmediato, implementar las mitigaciones detalladas en la nota SAP 3593336.
- Detección: revisar instalaciones en System Information, buscar “VISUAL COMPOSER FRAMEWORK”/“VCFRAMEWORK” y monitorear rutas de archivos SAP en busca de .jsp, .java o .class.
Solución
Aplicar el parche de forma urgente inmediatamente la nota de seguridad
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2025.html.