警惕！ ——SAP 系统漏洞又又又被利用！

近期 ，警惕新钛云服安全团队在对客户 SAP 系统进行例行安全检查时，统漏发现仍有客户的洞又SAP系统存在 ，先前已被披露且广为人知的又又用 SAP NetWeaver Visual Composer 中的无限制文件上传漏洞（编号为 CVE - 2025 - 31324） 。这一漏洞此前虽已被安全研究界密切关注，被利至今却仍在部分未妥善防护的警惕系统中肆虐，被黑客们疯狂利用；基于此情况新钛云服安全团队 ，统漏再次对次漏洞进行说明，洞又希望能引起大家的又又用重视 。

1.漏洞信息

图片

利用此漏洞，被利可在公开访问的警惕目录中肆意上传 JSP webshell。建站模板该漏洞严重等级高达 10 级，统漏意味着未经身份验证的洞又普通用户竟能借此上传恶意可执行二进制文件，最终实现远程代码执行，又又用这无疑给企业系统安全撕开了一道巨大的被利口子 。当下 ，攻击者手段愈发多样且狡猾 ，他们不仅投放 webshell 后门程序 ，还充分利用该漏洞在易受攻击的服务器上挖掘加密货币 。近期，发现多个威胁行为者竞相加入这场恶意 “狂欢”
，利用漏洞大肆部署 web shell 并开展挖矿活动  。

2.漏洞原理

CVE-2025-31324 的核心风险在于 “无限制文件上传”，亿华云结合真实攻击案例发现攻击者会扫描互联网，定位未修复漏洞的 SAP NetWeaver Visual Composer 系统；以下是大致的漏洞利用过程。

图片

3.修复方案

优先安装官方安全补丁

SAP 已于 4 月 8 日发布临时解决方案
，并在 4 月 25 日推送正式安全更新，彻底修复 CVE-2025-31324 漏洞。本次事件中
，未及时安装补丁是漏洞被利用的核心原因，企业需按以下步骤操作：

启用 IP 白名单策略 ，仅开放客户、供应商等合法主体的指定 IP 访问权限，有效阻断了非法 IP 的入侵尝试。本次被检查出存在此漏洞的客户
，幸亏紧急采用了IP白名单，云计算才避免了系统被外部攻击者进一步破坏 。通过白名单来减少暴露面的步骤大致如下。

4.持续监测

安装补丁和设置访问限制后，企业可借助专业的漏洞扫描工具，如 Onapsis、nuclei等工具进行扫描，对 SAP 系统展开全面扫描。以 Onapsis 工具（https://onapsis.com/）为例，首先要确保工具已正确安装，并精准配置与企业 SAP 系统的连接。登录 Onapsis 扫描工具控制台 ，审慎选择要扫描的 SAP 系统实例 ，在扫描策略中明确选择针对 CVE - 2025 - 31324 漏洞的专项扫描。启动扫描后 ，工具会逼真地模拟黑客攻击行为，严谨检测系统是否还存在该漏洞。若扫描结果清晰显示不存在相关漏洞  ，则说明修复措施在一定程度上初显成效。

图片

在完成漏洞扫描验证后
，还需持续密切监测业务系统的运行情况。仔细观察服务器的 CPU、内存等资源使用率是否恢复至正常水平。例如，通过服务器管理系统查看 CPU 使用率 ，若在修复前 CPU 长时间处于高负载（如超过 80%），修复后能稳定在正常业务需求的合理范围内（如 30% - 50%），则说明挖矿程序等恶意进程已被有效清除。同时，全面检查业务系统的各项功能是否正常运行，如订单处理、数据查询等操作是否流畅，有无延迟或报错情况。

5.总结

网络安全无小事 ，尤其是像 SAP 这样广泛应用于企业核心业务的系统 ，其安全漏洞即便并非新出现 ，一旦被利用，后果同样不堪设想。希望大家都能高度重视起来，及时、精准地采取修复和验证措施，全力守护好企业的网络安全防线。如果您在操作过程中有任何疑问 ，欢迎随时在评论区留言，我们将竭诚为您解答。

最新评论