Au printemps 2025, les équipes de sécurité découvrent une vulnérabilité critique dans SAP NetWeaver Visual Composer, identifiée CVE-2025-31324, avec un score CVSS de 10/10 — la note maximale. Concrètement, la faille permet à n’importe quel attaquant non authentifié d’envoyer une requête HTTP spécialement conçue pour uploader et exécuter du code arbitraire sur le serveur SAP cible. Aucun identifiant n’est requis.
SAP NetWeaver est le middleware sur lequel s’appuient des milliers d’entreprises mondiales pour leurs ERP (comptabilité, RH, production, logistique, supply chain). La portée est considérable. Plus de 580 instances connectées à Internet sont activement ciblées avant même la publication du patch officiel. Les secteurs industriels, la défense, les administrations publiques et les services financiers sont en première ligne. Des groupes d’acteurs liés à des États (Chine, Russie) figurent parmi les exploitants documentés.
Lien avec les attaques majeures de 2025 : Les enquêteurs ont établi que la vulnérabilité CVE-2025-42999 (variante SAP NetWeaver) a été utilisée dans la compromission de Jaguar Land Rover en septembre 2025, après un accès initial via le fournisseur Entegra. Le même vecteur SAP est présent dans plusieurs des grandes attaques de l’année, confirmant que les middlewares ERP non patchés constituent la surface d’attaque la plus dangereuse pour les grands groupes industriels.
Les attaquants déposent des web shells persistants (fichiers permettant un accès pérenne via navigateur même après le patching) sur les systèmes compromis. L’incident rappelle l’exploitation massive de Log4Shell en 2021 et souligne le risque systémique posé par les logiciels de gestion non maintenus. L’éditeur SAP a publié un patch d’urgence, mais le délai de déploiement dans les grands groupes (tests de régression, fenêtres de maintenance planifiées) laisse une fenêtre d’exposition de plusieurs semaines.