SAP waarschuwt voor een nieuwe kritieke kwetsbaarheid in NetWeaver waardoor aanvallers systemen kunnen overnemen en heeft updates uitgebracht om het probleem (CVE-2025-42999) te verhelpen. Organisaties worden opgeroepen om het beveiligingslek meteen te patchen. De kwetsbaarheid werd gevonden bij onderzoek naar een ander, actief aangevallen beveiligingslek (CVE-2025-31324) waarvoor vorige maand een noodpatch verscheen .

SAP Netweaver is een platform voor het draaien van SAP-applicaties die in veel zakelijke omgevingen worden gebruikt. Zowel CVE-2025-31324 als CVE-2025-42999 bevinden zich in een onderdeel van NetWeaver genaamd Visual Composer Metadata Uploader. De impact van de beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met respectievelijk een 10.0 en 9.1. CVE-2025-31324 is te misbruiken door een ongeauthenticeerde aanvaller, wat mede de hoge impactscore verklaart. De nieuwe kwetsbaarheid, CVE-2025-42999, vereist dat de aanvaller minimaal een 'privileged user' is.

Het Nationaal Cyber Security Centrum (NCSC) stelde vorige maand nog het volgende over de Metadata Uploader: "Dit product, bedoeld om zonder het schrijven van programmacode user-interfaces te bouwen, wordt al sinds 2015 niet meer ondersteund. Het gebruik ervan om interfaces te bouwen wordt daarom afgeraden. Ook is het goed gebruik een dergelijk ontwerpsoftware niet publiek toegankelijk te hebben, maar te hosten in een separate ontwikkelomgeving."