Vulnerabilidades en SAP NetWeaver AS Java 2025

Vulnerabilidad 29/04

Introducción

La vulnerabilidad CVE-2025-31324 es una vulnerabilidad crítica en el servidor de aplicaciones SAP NetWeaver AS Java que permite a los atacantes remotos no autenticados acceder al servicio UDDI expuesto sin autenticación. Por la falta de autenticación en el servicio UDDI, los atacantes pueden explotar esta falla para manipular, publicar o eliminar entradas de servicios web, comprometiendo la integridad y la disponibilidad del sistema SAP.

Análisis

CVE-2025-31324 - CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H - 10.0

CVE-2025-31324 es una vulnerabilidad crítica que permite a los atacantes no autenticados interactuar directamente con el servicio UDDI de SAP NetWeaver AS Java. El servicio está disponible públicamente en endpoints como:

https://<host>:<port>/uddi/UDDISOAPService

La explotación exitosa de esta vulnerabilidad permite la manipulación total del servicio UDDI, incluyendo la creación, modificación y eliminación de entradas de servicios. Esto puede llevar a la interrupción de servicios críticos y al abuso de funciones administrativas dentro del entorno SAP.

Versiones afectadas

Todas las instancias de SAP NetWeaver AS Java que exponen incorrectamente el servicio UDDI.

Recomendaciones

Se recomienda aplicar los parches proporcionados por SAP en la Nota de Seguridad 3594142 para corregir la vulnerabilidad. Además, se sugiere deshabilitar el servicio UDDI si no es estrictamente necesario y limitar el acceso a este servicio desde redes externas.

Workarounds

No hay workarounds disponibles para esta vulnerabilidad. 

Referencias

• https://strobes.co/blog/cve-2025-31324-critical-sap-flaw-explained/
• https://nvd.nist.gov/vuln/detail/CVE-2025-31324
• https://me.sap.com/notes/3594142