摘要：研究人员最初怀疑黑客是在利用一个编号为CVE-2017-9844的旧漏洞，或者是一个未报告的远程文件包含漏洞，然而，Reliaquest观察到的是最新系统的受损情况。

安全研究人员警告称，黑客正在积极利用SAP NetWeaver Visual Composer中一个关键的无限制文件上传漏洞。

该漏洞(编号为CVE-2025-31324)可能会使未经身份验证的用户上传恶意可执行二进制文件，该漏洞的严重等级为10。

Reliaquest的研究人员在调查中发现攻击者将JSP webshell上传到可公开访问的目录中后，向SAP披露了这一漏洞。

研究人员最初怀疑黑客是在利用一个编号为CVE-2017-9844的旧漏洞，或者是一个未报告的远程文件包含漏洞，然而，Reliaquest观察到的是最新系统的受损情况。

“漏洞CVE-2017-9844是针对拒绝服务(DoS)和可能的远程代码执行(RCE)(未提及RFI)与对同一URI的请求相关的，因此，我们认为这是全新的漏洞或是范围扩大。”Reliaquest的一位发言人在周二向Cybersecurity Dive表示。

Reliaquest的研究人员警告称，SAP技术在政府机构中广泛使用，一旦成功入侵，可能会使黑客进入政府网络。

据Reliaquest称，攻击者正在使用Brute Ratel和Heaven’s Gate进行执行和逃避检测。

SAP的一位发言人证实，该公司已被告知SAP NetWeaver Visual Composer中存在一个漏洞，该漏洞可能允许在特定的Java Servlets中未经身份验证和授权的代码执行。

该公司表示，尚未了解到任何客户数据或系统受损的情况，它于4月8日发布了一个临时解决方案，并正在开发一个补丁，将于4月30日提供。

SAP的一位发言人在Reliaquest的研究发布后证实，周四发布了一个紧急补丁。Reliaquest和Onapsis的研究人员在他们的博客文章中指出，已经发布了一个紧急补丁。

尽管SAP保证没有立即产生影响，但安全公司正在报告针对该漏洞的持续攻击尝试。

watchTowr的研究人员发现，威胁行为者正在投放webshell后门程序并获得进一步访问权限。

“这种在野外积极利用漏洞和广泛影响的情况，使得我们很快就会看到多方大规模利用漏洞的可能性极大，”watchTowr的首席执行官Benjamin Harris通过电子邮件向Cybersecurity Dive表示。“如果你以为还有时间，那就没有了。”

Onapsis Research Labs的CEO Mariano Nunez表示，Onapsis已确定有10000多个面向互联网的SAP应用程序可能因该漏洞而面临泄露风险。

Nunez补充道，“其中50%-70%的应用程序已启用易受攻击的组件，并可能已经遭到入侵。”

不过，该易受攻击的组件默认并未启用，因此Onapsis正在确认易受影响的系统数量。

网络安全和基础设施安全局(CISA)正在按照标准程序跟踪该漏洞，并与供应商和其他合作伙伴合作，以确定是否需要进一步的沟通，一位发言人向Cybersecurity Dive表示。

来源：小熊看科技