一、 漏洞 CVE-2025-31324 基础信息
漏洞信息
# SAP NetWeaver中的授权检查缺失(视觉开发服务器)
## 漏洞概述
SAP NetWeaver Visual Composer Metadata Uploader由于缺乏适当的授权保护,允许未认证的攻击者上传潜在的恶意可执行二进制文件,从而严重危害目标主机系统。
## 影响版本
未指定具体版本
## 漏洞细节
SAP NetWeaver Visual Composer Metadata Uploader未实施适当的授权保护机制,导致任何未认证的用户均可上传恶意二进制文件至系统。
## 影响
此漏洞可能严重影响系统的保密性、完整性和可用性。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Missing Authorization check in SAP NetWeaver (Visual Composer development server)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
SAP NetWeaver Visual Composer Metadata Uploader is not protected with a proper authorization, allowing unauthenticated agent to upload potentially malicious executable binaries that could severely harm the host system. This could significantly affect the confidentiality, integrity, and availability of the targeted system.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
危险类型文件的不加限制上传
来源:美国国家漏洞数据库 NVD
漏洞标题
SAP NetWeaver Visual Composer Metadata Uploader 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
SAP NetWeaver Visual Composer Metadata Uploader是德国思爱普(SAP)公司的一个用于辅助建模的工具。 SAP NetWeaver Visual Composer Metadata Uploader存在代码问题漏洞,该漏洞源于授权不当,可能导致上传恶意可执行文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-31324 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | SAP NetWeaver Visual Composer Metadata Uploader is not protected with a proper authorization, allowing unauthenticated agent to upload potentially malicious executable binaries that could severely harm the host system. This could significantly affect the confidentiality, integrity, and availability of the targeted system. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-31324.yaml | POC详情 |
三、漏洞 CVE-2025-31324 的情报信息
-
标题: SAP for Me: Sign In -- 🔗来源链接
标签:
-
- https://nvd.nist.gov/vuln/detail/CVE-2025-31324