SAP NetWeaver : la vulnérabilité critique qui menace les plus grands

Une vulnérabilité critique affecte SAP NetWeaver 7.xx lorsque le composant « SAP Visual Composer » est activé. Son exploitation réussie permet, sans authentification, de forcer l’exécution à distance de code arbitraire sur l’instance affectée.

Référencée CVE-2025-31324, cette vulnérabilité s’est vue attribuer un score CVSS de 10, le maximum. Les équipes d’Onapsis ont eu, plus tôt en avril, la preuve de l’exploitation active de cette vulnérabilité, alors inconnue. Selon ce spécialiste de la sécurité des systèmes SAP, « si le composant SAP Visual Composer est optionnel […], ce composant est installé et activé sur au moins 50 % des systèmes Java ». Il pourrait même l’être sur 70 % d’entre eux, du fait de « sa grande utilité pour assister les spécialistes des processus métiers dans le développement de composants métiers dans “coder” ».

De son côté, ReliaQuest indique avoir observé des instances de SAP NetWeaver affectées, compromises avec des webshells JSP, mais également des balises Brute Ratel. Onapsis fournit un outil gratuit de recherche de traces de compromission.

De son côté, Onyphe.io a recensé 3 716 instances SAP NetWeaver exposées sur Internet, dont 1 284 affectées par la vulnérabilité. Près de 40 % de ces dernières sont déjà compromises, soit 474. 

Ce n’est pas la première fois que SAP NetWeaver est concerné par une vulnérabilité affichant un tel niveau de sévérité : cela avait déjà été le cas en 2020, avec la CVE-2020-6287. Rapidement, elle avait été utilisée pour établir des accès initiaux ensuite revendus pour conduire des cyberattaques. Elle est soupçonnée d’avoir été exploitée pour au moins deux victimes connues à l’époque.