セキュリティ

SECURITY

公開：2025-05-09

【CVE-2025-31324】SAP NetWeaver Visual Composerに重大な認証バイパスの脆弱性、システムへの深刻な影響の可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• SAP NetWeaver Visual Composerに認証回避の脆弱性
• 悪意のある実行ファイルのアップロードが可能に
• CVSS評価で最高レベルの危険度10.0を記録

SAP NetWeaver Visual Composerの重大な認証バイパス脆弱性

2025年4月24日、SAP SEはSAP NetWeaver Visual Composer開発サーバーに重大な脆弱性【CVE-2025-31324】が発見されたことを公表した。この脆弱性は認証機能の不備により、不正なユーザーが悪意のある実行可能ファイルをアップロードできる状態になっており、対象システムの機密性、整合性、可用性に深刻な影響を及ぼす可能性がある。^[1]

CISAの評価によると、この脆弱性は既に実際の攻撃で悪用されており、自動化された攻撃も可能な状態であることが確認されている。CVSSスコアは最高レベルの10.0を記録しており、攻撃の実行に特別な権限や条件が必要ないことから、早急な対策が求められる状況となっている。

影響を受けるバージョンはVCFRAMEWORK 7.50であり、SAPはセキュリティパッチを公開して対応を進めている。この脆弱性は「CWE-434: Unrestricted Upload of File with Dangerous Type」に分類され、ファイルアップロード機能の制限が不適切であることが根本的な原因となっている。

SAP NetWeaver Visual Composerの脆弱性詳細

認証バイパスについて

認証バイパスとは、システムの認証機能を回避して不正にアクセスを得る手法のことを指す。主な特徴として以下のような点が挙げられる。

• 正規の認証プロセスを迂回して権限を取得
• システムの設計上の欠陥や実装の不備を悪用
• 特権機能への不正アクセスを可能にする

SAP NetWeaver Visual Composerで発見された認証バイパスの脆弱性は、Metadata Uploaderコンポーネントの認証チェックが不適切であることに起因している。攻撃者は認証を回避してファイルをアップロードできるため、マルウェアの配置やシステムの制御権限の奪取などの攻撃が可能となっている。

SAP NetWeaver Visual Composer脆弱性に関する考察

SAP NetWeaver Visual Composerの認証バイパス脆弱性は、企業システムの基盤を直接的に脅かす深刻な問題となっている。特に認証機能の不備により未認証の攻撃者がマルウェアを配置できる状態は、企業の重要な資産や情報が危険にさらされる可能性が極めて高く、早急な対策が不可欠である。

今後はファイルアップロード機能に対する包括的なセキュリティレビューと、多層的な防御メカニズムの実装が必要となるだろう。特にファイルタイプの厳密な検証やアップロード後の実行制限など、複数の防御層を組み合わせた対策が重要となってくる。

また、この種の脆弱性は開発プロセスの初期段階でのセキュリティ設計レビューによって防ぐことが可能だ。今後はDevSecOpsの考え方を取り入れ、開発サイクルの早い段階からセキュリティを考慮したアプローチが求められる。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-31324」. https://www.cve.org/CVERecord?id=CVE-2025-31324, (参照 25-05-09).
1903
2. Meta. https://about.meta.com/ja/
3. SAP. https://www.sap.com/japan/index.html

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧