SAP hat ein Notfall-Update für eine Sicherheitslücke in Netweaver veröffentlicht. Die Zero-Day-Lücke ermöglicht es Angreifern, Dateien ohne Autorisierung direkt auf das System hochzuladen. Damit können sie die vollständige Kontrolle über Geschäftsdaten und -Prozesse übernehmen. Laut Security-Experten wird die Lücke bereits aktiv ausgenutzt.

Die Schwachstelle CVE-2025-31324 gilt als kritisch und hat mit 10 den höchsten CVSS-Wert. Sie betrifft die Visual-Composer-Komponente für SAP Netweaver. Die Security-Firma Onapsis hat einen Report dazu veröffentlicht.

SAP hat seinen monatlichen Patch Day für den April mit der Schwachstelle ergänzt. Ein Sprecher erklärte: "SAP wurde auf eine Sicherheitslücke im SAP Netweaver Visual Composer aufmerksam gemacht, die möglicherweise die Ausführung nicht authentifizierter und nicht autorisierter Codes in bestimmten Java-Servlets ermöglicht hat."

Dem Unternehmen sei nicht bekannt, dass Daten oder Systeme von SAP-Kunden betroffen waren. Am 8. April wurde ein Workaround veröffentlicht, inzwischen ist auch ein Patch verfügbar. Kunden wird empfohlen, den Patch umgehend zu installieren.