返回
快讯

ServiceNow 漏洞被利用获取客户实例未授权访问

ServiceNow 警告一起安全事件:未知威胁行为者利用一个尚无 CVE 的漏洞,对受影响实例获得更深层的未授权访问。公司已于 6 月 5 日为托管客户实例发布安全更新,并通知受影响客户;受影响范围与澳大利亚平台版本或旧版本上的特定配置有关。建议尽快确认实例配置并应用相关安全更新。

ServiceNow 警告称,发生了一起安全事件,未知威胁行为者利用一个缺陷,对易受影响的实例获得了更深层的未授权访问。

“2026 年 6 月 5 日,ServiceNow 为托管客户实例应用了一项安全更新,”该公司在一份仅限客户访问的通告中披露。“此次更新涉及一个安全问题,在某些情况下,它可能会让未经身份验证的用户获得比预期更高的 ServiceNow 实例访问权限。”

这项安全更新通过更改一个 endpoint 配置,将该访问限制为已认证用户。该安全漏洞目前尚无 CVE 编号。该问题的细节最初出现在 Reddit 上。

ServiceNow 表示,其检测到与该安全问题相关的异常活动,并观察到“部分客户”的实例表被成功查询的证据。公司补充说,受影响客户已收到通知。

“该安全问题涉及运行在 Australia 平台版本上的客户,或在 Australia 之前发布的版本上对实例做出过某些配置更改的客户,”公司指出。

一名名为“d3s7iny”的 Reddit 用户留言称,其安全团队已将该漏洞报告给 ServiceNow,并补充说这家软件公司自 2026 年 4 月 7 日起就已在内部知悉该问题。据称,在大约两个月内,ServiceNow 将其归类为非紧急问题,并计划在未来更新中修复。

被问及此事时,ServiceNow 发言人表示:“我们的首要任务是直接联系受到这起[事件]影响的那部分客户,这并不是广泛性的。”

此后,该公司在通告中公开承认,“在这次活动中,部分客户实例的查询已成功完成。”据称,恶意活动始于 2026 年 6 月 2 日。

“在 2026 年 6 月 3 日至 4 日,客户就一个安全问题向其漏洞赏金计划提交了报告;在某些情况下,该问题可能允许未经身份验证的用户在 ServiceNow 实例中获取不想要的信息访问权限,”公司补充说。“这些提交与 2026 年 4 月 22 日发送到我们漏洞赏金计划的一份保密提交相似。”

(本文在发布后更新,加入了 ServiceNow 的回应以及该安全问题的更多细节。)