{"id":634226,"date":"2025-04-30T15:17:29","date_gmt":"2025-04-30T14:17:29","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=634226"},"modified":"2025-05-06T16:01:39","modified_gmt":"2025-05-06T15:01:39","slug":"alerte-securite-sap-cve-2025-31324-la-reponse-des-produits-stormshield","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/fr\/actus\/alerte-securite-sap-cve-2025-31324-la-reponse-des-produits-stormshield\/","title":{"rendered":"Alerte de s\u00e9curit\u00e9 SAP CVE-2025-31324 : la r\u00e9ponse des produits Stormshield"},"content":{"rendered":"

Une vuln\u00e9rabilit\u00e9 critique impactant la plateforme technique SAP NetWeaver de SAP identifi\u00e9e par la r\u00e9f\u00e9rence CVE-2025-31324, vient de voir le jour. Elle obtient un score CVSS v3.1 de 10.<\/strong><\/p>\n

Les versions suivantes de SAP NetWeaver sont impact\u00e9es : NetWeaver (Visual Composer development server), version VCFRAMEWORK 7.50 sans le dernier correctif de s\u00e9curit\u00e9. Il convient de porter une attention particuli\u00e8re \u00e0 cette vuln\u00e9rabilit\u00e9 CVE-2025-31324<\/a> car des preuves de concept sont disponibles publiquement et des attaques exploitant cette vuln\u00e9rabilit\u00e9 sont en cours.<\/p>\n

 <\/p>\n

Le vecteur initial de la vuln\u00e9rabilit\u00e9 SAP<\/h2>\n

La vuln\u00e9rabilit\u00e9 permet \u00e0 un attaquant non-authentifi\u00e9 de t\u00e9l\u00e9verser des fichiers et de les ex\u00e9cuter \u00e0 distance sur le serveur SAP.<\/strong> Les attaques en cours ont, entre autres, fait l\u2019usage de charge virale issue de Brute Ratel lors de l\u2019exploitation de cette vuln\u00e9rabilit\u00e9.<\/p>\n

 <\/p>\n

Les d\u00e9tails techniques de la vuln\u00e9rabilit\u00e9 SAP<\/h2>\n

Une requ\u00eate POST sp\u00e9cialement forg\u00e9e transmise \u00e0 la route \/developmentserver\/metadatauploader<\/code> de la solution SAP permet d\u2019outrepasser les v\u00e9rifications d\u2019authentification et ainsi transf\u00e9rer un fichier au contenu arbitraire sur le serveur.<\/p>\n

Dans les cas d\u2019attaques relat\u00e9es, il s\u2019agissait d\u2019un webshell JSP permettant ensuite de prendre le contr\u00f4le du serveur \u00e0 distance.<\/p>\n

 <\/p>\n

La mod\u00e9lisation de l'attaque avec MITRE ATT&CK<\/h2>\n

MITRE ATT&CK<\/h3>\n