CRITICAL🇬🇧 English

CVE-2026-0542

RCE w platformie ServiceNow AI — wykonanie kodu przez nieuwierzytelnionego użytkownika

CVSS 9.2v4.0pub. 2026-02-25upd. 2026-04-15

W platformie ServiceNow AI zidentyfikowano podatność umożliwiającą zdalne wykonanie kodu (RCE) przez nieuwierzytelnionego użytkownika. Podatność jest krytyczna, ponieważ nie wymaga żadnych poświadczeń ani interakcji po stronie ofiary.

Pokaż oryginał (EN)

ServiceNow has addressed a remote code execution vulnerability that was identified in the ServiceNow AI platform. This vulnerability could enable an unauthenticated user, in certain circumstances, to execute code within the ServiceNow Sandbox.    ServiceNow addressed this vulnerability by deploying a security update to hosted instances. Relevant security updates also have been provided to ServiceNow self-hosted customers and partners. Further, the vulnerability is addressed in the listed patches and hot fixes. While we are not currently aware of exploitation against customer instances, we recommend customers promptly apply appropriate updates or upgrade if they have not already done so.

🤖 Analiza AI
Jak działa

W określonych okolicznościach nieuwierzytelniony użytkownik może doprowadzić do wykonania kodu w obrębie środowiska ServiceNow Sandbox. Podatność sklasyfikowana jest jako CWE-653 (niewystarczająca izolacja lub separacja uprawnień), co sugeruje możliwość ucieczki poza granice izolowanego środowiska wykonawczego lub obejścia mechanizmów separacji. ServiceNow wdrożył aktualizację bezpieczeństwa na instancjach hostowanych oraz udostępnił poprawki klientom i partnerom korzystającym z instalacji własnych.

Skutki

Atakujący bez jakichkolwiek poświadczeń może zdalnie wykonać kod w środowisku ServiceNow Sandbox, co może prowadzić do naruszenia poufności, integralności oraz dostępności danych i zasobów przetwarzanych w platformie.

Mitygacja

ServiceNow wdrożył automatyczną aktualizację bezpieczeństwa na instancjach hostowanych. Klienci korzystający z instalacji własnych (self-hosted) powinni niezwłocznie zastosować odpowiednie patche lub hotfixes wskazane przez producenta w artykule KB2693566 dostępnym w portalu ServiceNow Support.

Kogo dotyczy

Platforma ServiceNow AI — wersje wskazane w referencjach producenta (artykuł KB2693566). Dotyczy zarówno instancji hostowanych przez ServiceNow, jak i instalacji własnych (self-hosted) klientów i partnerów.

Uwagi

Zgodnie z komunikatem producenta, w momencie publikacji nie odnotowano przypadków aktywnego wykorzystania podatności w środowiskach klientów. ServiceNow zaleca jednak niezwłoczne zastosowanie dostępnych aktualizacji.

CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje