Schwachstelle in SAP NetWeaver Visual Composer: Deutschland auf Platz vier der potenziell am stärksten betroffenen Instanzen

Aktive Ausnutzung der Sicherheitslücke durch Remotecodeausführung ohne Authentifizierung

Eine kritische Schwachstelle für den Datei-Upload mit einem CVSS-Score von 10,0 betrifft die Metadaten-Uploader-Komponente des SAP NetWeaver Visual Composer. Als besonders schwerwiegende Sicherheitslücke vereint die Schwachstelle CVE-2025-31324 mehrere sehr große Risikofaktoren: Sie weist den maximalen CVSS-Score auf, benötigt keine Authentifizierung, betrifft ein in vielen großen Unternehmen weit verbreitetes Produkt und wurde bereits aktiv für die Ausführung von Remotecodes ausgenutzt.

Als Software-Stack unterstützt SAP NetWeaver Unternehmen bei der Verwaltung von Anwendungen und Geschäftsprozessen. Die Sicherheitslücke entsteht durch fehlende Berechtigungsprüfungen am Endpoint /developmentserver/metadatauploader. Dadurch können nicht-authentifizierte Angreifer bösartige ausführbare Dateien hochladen. Dies könnte zur Remotecodeausführung und zur vollständigen Kompromittierung des Systems führen. Obwohl Visual Composer nicht standardmäßig installiert ist, handelt es sich um eine anscheinend beliebte Funktion, die auf NetWeaver Application Server Java-Systemen aktiviert ist. Unternehmen können prüfen, ob der Endpoint /developmentserver/metadatauploader ohne Anmeldeinformationen zugänglich ist.

Bei der ersten aktiven Ausnutzung der Schwachstelle haben Angreifer etwa JSP-Webshells in den Pfad servlet_jsp/irj/root/ hochgeladen, um Remotecodeausführung durch eine einfache http-POST-Anfrage zu ermöglichen. Zu den Aktivitäten nach der Ausnutzung gehörte der Einsatz von Brute Ratel und Heaven’s Gate Command-and-Control-Frameworks. Es ist zu beobachten, dass die Sicherheitslücke aktiv und weit verbreitet ausgenutzt wird. Der Hersteller SAP hat einen Notfall-Patch für diese Schwachstelle veröffentlicht und empfiehlt dringend, den Sicherheitshinweis 3594142 sofort anzuwenden.

Bis zu 7.562 Instanzen weltweit betroffen – Deutschland in Top 4 im Ländervergleich

Zur Analyse der Schwachstelle hat Censys seine Tools und Daten genutzt und weltweit ca. 7.562 SAP NetWeaver Application Server beobachtet, die dem Internet ausgesetzt sind. 1.599 dieser Instanzen befinden sich in den USA, gefolgt von Indien und China. Mit 314 Instanzen liegt Deutschland auf Platz vier im Ländervergleich von Instanzen, die dem Internet zugewandte SAP NetWeaver-Anwendungsserver hosten.

Jedoch sind nicht alle beobachteten Instanzen zwangsläufig anfällig, da für den Exploit der Schwachstelle die Metadate Uploader-Komponente aktiviert sein muss. Um zu überprüfen, ob eine Instanz betroffen ist, sollte geprüft werden, ob auf die betroffene URL /developmentserver/metadatauploader ohne Authentifizierung zugegriffen werden kann. Nach aktuellen Schätzungen haben zwischen 50 % und 70 % der mit dem Internet verbundenen SAP NetWeaver Application Server Java-Systeme die anfällige Visual Composer-Komponente aktiviert.

Angesichts des Schweregrads von CVE-2025-31324 und der laufenden aktiven Ausnutzung hält sich Censys derzeit mit der Veröffentlichung direkter Censys-Abfragen zur Identifizierung exponierter und potenziell verwundbarer NetWeaver-Instanzen zurück.

Weitere Informationen zur Schwachstelle sowie zur Untersuchung von Censys mit einer Karte der auffindbaren betroffenen Instanzen finden Sie unter https://censys.com/advisory/cve-2025-31324.

Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0

Startseite