5月13日SAP 通报此事的Onapsis Onapsis技术长Juan Pablo Perez-Etchegoyen透露,根据他们的调查,骇客从今年1月就开始将CVE-2025-31324、CVE-2025-42999串连,用于实际攻击行动。这两项漏洞的结合,让攻击者能在不需取得系统特殊权限的情况下,远端执行任意程式码。不过利用漏洞存在前提,那就是攻击者必须利用具有VisualComposerUser角色的使用者,才有机会触发这项反序列化弱点。
通报此事的Onapsis Onapsis技术长Juan Pablo Perez-Etchegoyen透露,根据他们的调查,骇客从今年1月就开始将CVE-2025-31324、CVE-2025-42999串连,用于实际攻击行动。这两项漏洞的结合,让攻击者能在不需取得系统特殊权限的情况下,远端执行任意程式码。不过利用漏洞存在前提,那就是攻击者必须利用具有VisualComposerUser角色的使用者,才有机会触发这项反序列化弱点。
Onapsis技术长Juan Pablo Perez-Etchegoyen透露,根据他们的调查,骇客从今年1月就开始将CVE-2025-31324、CVE-2025-42999串连,用于实际攻击行动。这两项漏洞的结合,让攻击者能在不需取得系统特殊权限的情况下,远端执行任意程式码。不过利用漏洞存在前提,那就是攻击者必须利用具有VisualComposerUser角色的使用者,才有机会触发这项反序列化弱点。