A SAP publicou hoje 16 novas notas de segurança e mais duas atualizações como parte do Security Patch Day de maio de 2025. O problema mais grave é a atualização de uma nota publicada em 24 de abril para tratar o CVE-2025-31324 (CVSS 10), um bug de gravidade crítica no componente do servidor de desenvolvimento Visual Composer do NetWeaver, e que vem sendo explorado desde janeiro para execução remota de código (RCE).
Leia também
SAP corrige falha de gravidade elevadíssima
Hackers exploram falha crítica no SAP NetWeaver
A empresa Onapsis, especializada em segurança de SAP, vem observando “atividade significativa de invasores que estão usando informações públicas para desencadear exploração e abuso de webshells colocados pelos invasores originais, que atualmente estão inativos”.
A análise dos ataques levou à descoberta de outra falha crítica no Visual Composer do NetWeaver. Rastreada como CVE-2025-42999 (pontuação CVSS de 9,1) e descrita como um problema de desserialização insegura, a vulnerabilidade foi resolvida com a segunda nota crítica de segurança lançada no Security Patch Day da SAP em maio de 2025 .
O SAP Netweaver é uma plataforma para executar aplicativos SAP usados em muitos ambientes de negócios. Tanto o CVE-2025-31324 quanto o CVE-2025-42999 estão em um componente do NetWeaver chamado Visual Composer Metadata Uploader. O CVE-2025-31324 pode ser explorado por um invasor não autenticado, o que explica em parte a alta pontuação de impacto. A nova vulnerabilidade, CVE-2025-42999, exige que o invasor seja pelo menos um usuário privilegiado.
