检测

SAP NetWeaver Visual Composer 多个漏洞(2025 年 6 月)

critical Nessus 插件 ID 238431

语言:

简介

远程 SAP Netweaver Visual Composer 服务器受到多个漏洞影响。

描述

SAP NetWeaver Visual Composer 受到一个目录遍历漏洞的影响,该漏洞是该漏洞由高权限用户提供的输入路径验证不足所致。这允许攻击者读取或修改任意文件,从而对机密性造成重大影响,而对完整性造成轻微影响。(CVE-2025-42977)

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

根据供应商公告应用相应的修补程序。

另见

http://www.nessus.org/u?c7f7479e

https://me.sap.com/notes/3610591

插件详情

严重性: Critical

ID: 238431

文件名: sap_netweaver_visual_composer_3610591.nasl

版本: 1.1

类型: remote

系列: Web Servers

发布时间: 2025/6/13

最近更新时间: 2025/6/13

配置: 启用偏执模式

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.1

CVSS v2

风险因素: Critical

基本分数: 10

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2025-42977

CVSS v3

风险因素: Critical

基本分数: 9.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

漏洞信息

CPE: x-cpe:/a:sap:netweaver_visual_composer

必需的 KB 项: Settings/ParanoidReport, installed_sw/SAP Netweaver Application Server (AS), installed_sw/SAP Netweaver Visual Composer

补丁发布日期: 2025/6/10

漏洞发布日期: 2025/6/10

参考资料信息

CVE: CVE-2025-42977

IAVA: 2025-A-0406