ServiceNowのAIプラットフォームで重大な権限昇格の脆弱性が発見され、世界中の企業にとって大きなセキュリティリスクとなっています。
CVE-2025-12420として追跡されているこの欠陥により、未認証の攻撃者が正規ユーザーになりすまし、侵害したアカウントの権限を悪用して不正な操作を実行できます。これは、脅威アクターに機密性の高い業務機能への無制限のアクセスを与えかねない危険な能力です。
この脆弱性は、SaaSセキュリティの大手企業であるAppOmniによって特定され、2025年10月に協調的開示チャネルを通じてServiceNowへ責任ある報告が行われました。
ServiceNowは称賛に値する迅速さで対応し、2025年10月30日までにホスト型インスタンスへセキュリティパッチを展開すると同時に、セルフホスト環境を運用するパートナーおよび顧客にも更新を提供しました。
それでも同社は警戒を続けており、公表後にリスクが高まっているにもかかわらず、現時点で野放し環境での能動的な悪用は確認されていないとしています。
2つの重要なアプリケーションが直ちに注意を要します。Now Assist AI Agents アプリケーションは、バージョン5.1.18以降、または代替としてバージョン5.2.19以降へのパッチ適用が必要です。
Virtual Agent APIも、バージョン3.15.2以降、またはバージョン4.0.4以降への更新が必要です。
ServiceNowは、ホスト型およびセルフホスト環境の双方に向けた包括的なセキュリティ保守ガイダンスを提供するナレッジベースにおいて、これらの更新の緊急性を強調しています。
業務上重要な運用にServiceNowのAI機能を利用している組織は、直ちにパッチ適用の取り組みを優先すべきです。
この権限昇格の経路は特に深刻な脅威となります。攻撃者は初期侵害から、なりすましたユーザーの役割と権限でリソースへアクセスする方向へ横展開できるためです。
これにより、相互接続されたシステムや機密データのリポジトリ全体に連鎖的なリスクが生じます。
セキュリティチームは、現在のServiceNow導入環境が影響を受けるバージョンに該当するかを確認し、遅滞なくパッチの展開 を開始すべきです。
この脆弱性は未認証の攻撃ベクトルであり深刻度も高いため、組織の是正ワークフローにおける最優先事項とすべきです。
ServiceNowの迅速な対応とパッチ提供により悪用の機会は縮小しますが、高度な脅威アクターが武器化したエクスプロイトを開発する前に攻撃ベクトルを排除するには、能動的なパッチ適用が不可欠です。