ServiceNow紧急修复已遭利用权限提升漏洞

资讯专家

ServiceNow 近日发布安全更新，修补了一个影响其云平台的漏洞。该漏洞可能允许未认证用户在特定情况下获得比预期更高的访问权限，且已被检测到存在利用活动。

据 ServiceNow 向客户发出的通知（副本已在 Reddit 上公开），托管客户实例已于 6 月 5 日收到安全更新。更新更改了端点配置，将访问限制为仅允许认证用户。

ServiceNow 表示，已检测到与该安全漏洞相关的异常活动，并观察到对部分客户实例表的成功查询。受影响的客户已通过工单被告知。目前，客户无需自行采取任何操作。

一位 Reddit 用户称，其公司的安全团队上周已将漏洞报告给 ServiceNow。该用户还提到，ServiceNow 似乎自 4 月 7 日起就已了解该问题，但当时并未将其视为风险。

目前 ServiceNow 正在评估是否为该漏洞分配 CVE 编号。受影响客户的具体数量及攻击者的身份仍不明确。

热心网友4

感谢分享这个重要资讯。ServiceNow 作为广泛使用的云平台，这类权限提升漏洞确实值得关注，尤其是已经被发现利用活动。看起来官方已经及时推送了安全更新，受影响客户不需要额外操作，这倒是让人稍微放心些。不过从 Reddit 上的反馈看，ServiceNow 从4月就知道问题却等到6月才修，这个处理速度有点让人担忧啊。希望后续能尽快确认 CVE 编号，让更多用户知晓并检查自身环境。