ServiceNowのAIプラットフォームにおいて、重大な権限昇格の脆弱性が特定され、世界中の企業ユーザーに大きなリスクをもたらしています。
CVE-2025-12420として追跡されているこのセキュリティ上の欠陥により、未認証の攻撃者が他のユーザーになりすまし、侵害されたアカウントの権限に基づいて不正な操作を実行できてしまいます。
| 項目 | 値 |
|---|---|
| CVE ID | CVE-2025-12420 |
| 脆弱性の種類 | 権限昇格 |
| 影響を受ける製品 | ServiceNow AI Platform |
この脆弱性は著名なSaaSセキュリティ企業であるAppOmniによって発見され、協調的な脆弱性開示を通じて2025年10月にServiceNowへ報告されました。
この欠陥は、重要な業務運用にServiceNowのAI機能を利用している組織にとって深刻な脅威となります。
ServiceNowは迅速に対応し、2025年10月30日に大半のホスト型インスタンスへセキュリティ更新を展開しました。
同社はまた、この脆弱性に対処するため、パートナーおよびセルフホストの顧客向けにもパッチを提供しました。
修正が利用可能であるにもかかわらず、ServiceNowは現時点で野外での積極的な悪用を把握していません。しかし、公開開示後はリスクが高まるため、同社は直ちに対応するよう強く促しています。
この脆弱性の影響を受ける主要なアプリケーションは2つあります。Now Assist AI Agentsアプリケーションは、バージョン5.1.18以降、またはバージョン5.2.19以降へのアップグレードが必要です。
Virtual Agent APIは、バージョン3.15.2以降、またはバージョン4.0.4以降へ更新する必要があります。
ServiceNow は、すべての顧客に対し、適切なセキュリティ更新またはアップグレードを速やかに適用することを強く推奨しています。
組織は潜在的なリスクを軽減するため、パッチ適用の取り組みを優先すべきです。同社は、ホスト型およびセルフホストの両方の導入形態について、ナレッジベースに包括的なセキュリティメンテナンス概要記事を公開しています。
翻訳元: https://gbhackers.com/servicenow-vulnerability-enables-privilege-escalation/
