آسیب‌پذیری بحرانی CVE-2025-31324 در SAP NetWeaver توسط چندین گروه هکری وابسته به چین مورد سوءاستفاده قرار گرفته و زیرساخت‌های حیاتی شامل شبکه‌های توزیع گاز طبیعی، آب و مدیریت زباله در انگلستان، کارخانه‌های تولید تجهیزات پزشکی و شرکت‌های نفت و گاز در آمریکا و وزارتخانه‌های دولتی عربستان سعودی را هدف قرار داده است. این آسیب‌پذیری امکان آپلود فایل بدون احراز هویت و اجرای کد از راه دور را فراهم می‌کند.

تحقیقات نشان می‌دهد که گروه‌های تهدید UNC5221، UNC5174 و CL-STA-0048 از این آسیب‌پذیری برای نصب وب شل‌ها و ابزارهای بدافزار نظیر KrustyLoader، SNOWLIGHT و VShell استفاده کرده‌اند. یک سرور مهاجم حاوی فایل‌هایی با 581 نمونه SAP NetWeaver آلوده و 800 دامنه هدف کشف شده است. SAP آسیب‌پذیری جدید CVE-2025-42999 را نیز در اجزای Visual Composer شناسایی کرده که امتیاز CVSS 9.1 دارد و توصیه می‌شود کاربران فوراً سیستم‌های خود را به‌روزرسانی کنند.