Schwachstelle in SAP NetWeaver Visual Composer: Deutschland auf Platz vier der potenziell am stärksten betroffenen Instanzen
06.05.2025 / ID: 427704
IT, NewMedia & Software

Als Software-Stack unterstützt SAP NetWeaver Unternehmen bei der Verwaltung von Anwendungen und Geschäftsprozessen. Die Sicherheitslücke entsteht durch fehlende Berechtigungsprüfungen am Endpoint /developmentserver/metadatauploader. Dadurch können nicht-authentifizierte Angreifer bösartige ausführbare Dateien hochladen. Dies könnte zur Remotecodeausführung und zur vollständigen Kompromittierung des Systems führen. Obwohl Visual Composer nicht standardmäßig installiert ist, handelt es sich um eine anscheinend beliebte Funktion, die auf NetWeaver Application Server Java-Systemen aktiviert ist. Unternehmen können prüfen, ob der Endpoint /developmentserver/metadatauploader ohne Anmeldeinformationen zugänglich ist.
Bei der ersten aktiven Ausnutzung der Schwachstelle haben Angreifer etwa JSP-Webshells in den Pfad servlet_jsp/irj/root/ hochgeladen, um Remotecodeausführung durch eine einfache http-POST-Anfrage zu ermöglichen. Zu den Aktivitäten nach der Ausnutzung gehörte der Einsatz von Brute Ratel und Heaven's Gate Command-and-Control-Frameworks. Es ist zu beobachten, dass die Sicherheitslücke aktiv und weit verbreitet ausgenutzt wird. Der Hersteller SAP hat einen Notfall-Patch für diese Schwachstelle veröffentlicht und empfiehlt dringend, den Sicherheitshinweis 3594142 sofort anzuwenden.
Bis zu 7.562 Instanzen weltweit betroffen - Deutschland in Top 4 im Ländervergleich
Zur Analyse der Schwachstelle hat Censys seine Tools und Daten genutzt und weltweit ca. 7.562 SAP NetWeaver Application Server beobachtet, die dem Internet ausgesetzt sind. 1.599 dieser Instanzen befinden sich in den USA, gefolgt von Indien und China. Mit 314 Instanzen liegt Deutschland auf Platz vier im Ländervergleich von Instanzen, die dem Internet zugewandte SAP NetWeaver-Anwendungsserver hosten.
Jedoch sind nicht alle beobachteten Instanzen zwangsläufig anfällig, da für den Exploit der Schwachstelle die Metadate Uploader-Komponente aktiviert sein muss. Um zu überprüfen, ob eine Instanz betroffen ist, sollte geprüft werden, ob auf die betroffene URL /developmentserver/metadatauploader ohne Authentifizierung zugegriffen werden kann. Nach aktuellen Schätzungen haben zwischen 50 % und 70 % der mit dem Internet verbundenen SAP NetWeaver Application Server Java-Systeme die anfällige Visual Composer-Komponente aktiviert.
Angesichts des Schweregrads von CVE-2025-31324 und der laufenden aktiven Ausnutzung hält sich Censys derzeit mit der Veröffentlichung direkter Censys-Abfragen zur Identifizierung exponierter und potenziell verwundbarer NetWeaver-Instanzen zurück.
Weitere Informationen zur Schwachstelle sowie zur Untersuchung von Censys mit einer Karte der auffindbaren betroffenen Instanzen finden Sie unter https://censys.com/advisory/cve-2025-31324.
(Die Bildrechte liegen bei dem Verfasser der Mitteilung.)
Firmenkontakt:
Censys, Inc.TM
S Main St 116 ½
MI 48104 Ann Arbor
Deutschland
+1-877-438-9159
http://www.censys.com/de
Pressekontakt:
Sprengel & Partner GmbH
Nico Reinicke
Nisterau
Nisterstraße 3
+49 (0) 26 61-91 26 0-0
Diese Pressemitteilung wurde über PR-Gateway veröffentlicht.
Für den Inhalt der Pressemeldung/News ist allein der Verfasser verantwortlich. Newsfenster.de distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.
Weitere Artikel von Censys, Inc.TM
27.05.2025 | Censys, Inc.TM
Warum Attack Surface Management heute unverzichtbar ist
Warum Attack Surface Management heute unverzichtbar ist
21.05.2025 | Censys, Inc.TM
Schwachstelle in Fortinet-Produkten: weltweit bis zu 2.878 Instanzen potenziell betroffen
Schwachstelle in Fortinet-Produkten: weltweit bis zu 2.878 Instanzen potenziell betroffen
28.04.2025 | Censys, Inc.TM
Censys bringt neue Threat Hunting-Lösung auf den Markt
Censys bringt neue Threat Hunting-Lösung auf den Markt
01.04.2025 | Censys, Inc.TM
Media Alert: Neue Schwachstelle "Ingress Nightmare" gefährdet Kubernetes-Cluster weltweit
Media Alert: Neue Schwachstelle "Ingress Nightmare" gefährdet Kubernetes-Cluster weltweit
Weitere Artikel in dieser Kategorie
28.05.2025 | SYN4YOU GmbH
Wenn der Ernstfall eintritt: SYN4YOU macht Unternehmen mit Notfallkonzepten widerstandsfähig
Wenn der Ernstfall eintritt: SYN4YOU macht Unternehmen mit Notfallkonzepten widerstandsfähig
28.05.2025 | Checkmarx Germany GmbH
Agentic AI Summit: Checkmarx zeigt autonome AppSec in Aktion
Agentic AI Summit: Checkmarx zeigt autonome AppSec in Aktion
28.05.2025 | H zwo B Kommunikations GmbH
enclaive und Utimaco verkünden Technologiepartnerschaft: Sicheres Confidential Computing 'Made in Germany'
enclaive und Utimaco verkünden Technologiepartnerschaft: Sicheres Confidential Computing 'Made in Germany'
28.05.2025 | Keeper Security Inc.
Keeper Security erweitert seine Password-Management-Plattform mit einer bidirektionalen One-Time-Sharing-Funktion
Keeper Security erweitert seine Password-Management-Plattform mit einer bidirektionalen One-Time-Sharing-Funktion
28.05.2025 | Revenera
FlexNet Publisher jetzt in der Enterprise Edition
FlexNet Publisher jetzt in der Enterprise Edition
