KEV案件: SAP NetWeaverのゼロデイ脆弱性（CVE-2025-31324）悪用

CVE Record: CVE-2025-31324 (04/24)

Known Exploited Vulnerabilities Catalog | CISA (04/29)

『Known To Be Used in Ransomware Campaigns? Known

対応期限 5/20迄』とのこと。

SAP NetWeaverのゼロデイ脆弱性（CVE-2025-31324）が悪用、CISAがKEVデータベースに追加|セキュリティニュース (05/02)

対策: SAP社の緊急パッチ。困難な場合の暫定処置も記事中に紹介されている。

『.. 現在、実際にゼロデイ攻撃が確認されており、対策が急務です。

 

CVE-2025-31324は、SAP NetWeaverに含まれるVisual Composerコンポーネントの「Metadata Uploader」機能に存在する、認証不要のファイルアップロードに関する脆弱性です。この脆弱性により、攻撃者は事前の認証を必要とせずに、任意のファイルをアップロードすることが可能となります。特に悪意あるJSP形式のWebシェルをサーバ上に配置されると、ブラウザ経由でコマンドを実行したり、システム内部のファイルを操作したりといったリモートコード実行（RCE）が実現され、システム全体の制御を奪われる可能性があります。

 

この脆弱性には、CVSS（共通脆弱性評価システム）において最大スコアである10.0が付与されており、影響度は極めて深刻です。

』