ServiceNow ha revelado detalles de una falla de seguridad crítica que afecta a la plataforma ServiceNow AI y que actualmente se está reparando. Esta falla podría permitir que un usuario no autenticado se haga pasar por otro usuario y realice acciones arbitrarias como ese usuario.
Esta vulnerabilidad fue rastreada como CVE-2025-12420 y tenía una puntuación CVSS de 9,3 sobre 10,0.
«Este problema (…) podría permitir que un usuario no autenticado se haga pasar por otro usuario y realice acciones que el usuario suplantado podría realizar», dijo la compañía en un aviso publicado el lunes.
ServiceNow solucionó esta deficiencia el 30 de octubre de 2025 mediante la implementación de una actualización de seguridad en la mayoría de sus instancias alojadas, y la empresa también compartió el parche con los socios de ServiceNow y los clientes autohospedados.
La siguiente versión incluye la solución para CVE-2025-12420:
Now Assist AI Agent (sn_aia): 5.1.18 y superiores y 5.2.19 y superiores API de agente virtual (sn_va_as_service): 3.15.2 y superiores y 4.0.4 y superiores
ServiceNow le da crédito a Aaron Costello, jefe de investigación de seguridad de SaaS en AppOmni, por descubrir e informar la vulnerabilidad en octubre de 2025. Aunque no hay evidencia de que esta vulnerabilidad haya sido explotada, se recomienda a los usuarios que apliquen las actualizaciones de seguridad adecuadas lo antes posible para mitigar la amenaza potencial.
La divulgación se produce casi dos meses después de que AppOmni revelara que atacantes maliciosos podrían explotar la configuración predeterminada de la plataforma de inteligencia artificial (IA) generativa Now Assist de ServiceNow y aprovechar las capacidades de su agente para realizar ataques secundarios de inyección rápida.
Luego, este problema se puede utilizar como arma para realizar acciones no autorizadas, lo que permite a los atacantes copiar y extraer datos corporativos confidenciales, modificar registros o escalar privilegios.
Source link
