La empresa alemana de software SAP finalmente ha revelado y corregido una vulnerabilidad crítica en el servidor de desarrollo NetWeaver Visual Composer tras evidencia de explotación in situ.

NetWeaver Visual Composer es la herramienta de modelado web de SAP que permite a los expertos en procesos de negocio y desarrolladores crear componentes de aplicaciones empresariales sin necesidad de codificación manual.

La vulnerabilidad, identificada como CVE-2025-31324, afecta a la carga de archivos no autenticados en el componente Metadata Uploader de SAP NetWeaver Visual Composer Framework versión 7.50.

Al explotarse, la vulnerabilidad permite a un atacante no autenticado cargar archivos binarios ejecutables potencialmente maliciosos que podrían dañar gravemente el sistema host.

«Esto podría afectar significativamente la confidencialidad, la integridad y la disponibilidad del sistema objetivo», señala la página CVE.org para CVE-2025-31324.

SAP ha asignado a la vulnerabilidad la máxima puntuación de gravedad: 10.0 (CVSS v3.1).

El proveedor de software alemán también ha publicado una corrección en una actualización de seguridad de emergencia, accesible únicamente para clientes de SAP.

Se insta a los clientes a instalar las nuevas versiones lo antes posible.