CVE-2025-42999

SAP NetWeaver

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-05-15

Официальное описание

SAP NetWeaver Visual Composer Metadata Uploader contains a deserialization vulnerability that allows a privileged attacker to compromise the confidentiality, integrity, and availability of the host system by deserializing untrusted or malicious content.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-42999 представляет собой критическую уязвимость небезопасной десериализации в компоненте SAP NetWeaver Visual Composer Metadata Uploader.

Проблема заключается в том, что приложение некорректно обрабатывает входные данные при загрузке метаданных. Привилегированный злоумышленник может передать специально сформированный сериализованный объект. При попытке системы восстановить состояние этого объекта (десериализовать его) происходит выполнение произвольного вредоносного кода в контексте операционной системы. Это ведет к полной компрометации хоста: потере конфиденциальности, нарушению целостности данных и отказу в обслуживании (CIA triad).

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка соответствующих обновлений безопасности (Security Patch Day), выпущенных SAP.

  1. Перейдите на SAP Support Portal и найдите исправление по номеру ноты.
  2. Установите SAP Security Note #3525175 (или более актуальную версию, заменяющую её).
  3. Обновите компонент VC-METADATA-UPL до версии, указанной в рекомендациях SAP для вашего релиза NetWeaver (например, 7.50 SP33 и выше).

Для проверки текущей версии компонента через консоль (SAP NW AS Java):

/usr/sap/<SID>/SYS/exe/jvm/bin/java -cp /usr/sap/<SID>/<INSTANCE>/j2ee/cluster/bin/ext/telnet/telnet.jar com.sap.engine.services.telnet.Console

В консоли выполните:

VERSION VC-METADATA-UPL

Временные меры

Если немедленная установка патча невозможна, необходимо минимизировать риски следующими действиями:

  1. Ограничение прав доступа: Проверьте и отозвайте избыточные привилегии у пользователей, имеющих доступ к Visual Composer. Уязвимость требует наличия прав на загрузку метаданных. Используйте транзакцию PFCG (в ABAP) или User Management Engine (в Java) для аудита ролей.

  2. Блокировка URL-путей на уровне WAF/Reverse Proxy: Настройте фильтрацию входящего трафика на SAP Web Dispatcher или внешнем WAF, чтобы заблокировать доступ к эндпоинтам Metadata Uploader для неавторизованных сегментов сети. Пример правила для SAP Web Dispatcher (в файле конфигурации):

if %{PATH} url-prefix /VC/MetadataUploader [OR]
if %{PATH} url-prefix /VisualComposer/MetadataUploader
RegisForbiddenUrl ^/.* - [F]
  1. Мониторинг логов: Настройте алертинг на подозрительную активность в трассировочных файлах сервера приложений.
grep -i "ObjectInputStream" /usr/sap/<SID>/<INSTANCE>/j2ee/cluster/server<N>/log/defaultTrace.*
  1. Изоляция системы: Убедитесь, что сервер SAP NetWeaver находится в изолированном сегменте сети и не имеет прямого доступа в интернет, чтобы предотвратить Reverse Shell соединения в случае эксплуатации.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей