SAP دو آسیب‌پذیری در سرورهای NetWeaver را که به عنوان zero-day در حملات اخیر مورد سوءاستفاده قرار گرفته‌اند، پچ کرده است. آسیب‌پذیری اول (CVE-2025-31324) مربوط به آپلود غیرمجاز فایل در SAP NetWeaver Visual Composer بود که در آپریل رفع شد، و آسیب‌پذیری دوم (CVE-2025-42999) که در 12 مه پچ شد، هنگام بررسی حملات zero-day کشف شد. مهاجمان از این آسیب‌پذیری‌ها برای آپلود web shell های JSP و ابزار Brute Ratel استفاده کرده‌اند.

شرکت‌های امنیتی ReliaQuest، watchTowr و Onapsis این حملات را تأیید کرده‌اند و Forescout’s Vedere Labs برخی از این حملات را به گروه تهدید چینی Chaya_004 نسبت داده است. بنیاد Shadowserver بیش از 2040 سرور SAP NetWeaver آسیب‌پذیر در اینترنت را شناسایی کرده و CISA آسیب‌پذیری CVE-2025-31324 را به فهرست آسیب‌پذیری‌های شناخته شده اضافه کرده است. مدیران SAP باید فوراً سیستم‌های خود را پچ کنند و در صورت امکان سرویس Visual Composer را غیرفعال کنند.