ServiceNow Addresses Authorization Bypass Vulnerability in Now Platform (CVE-2025-0337)
2025/03/07 SecurityOnline — ServiceNow の Now Platform は、企業における IT の管理/自動化/デジタル・ワークフローの基盤として利用されている。先日に公開された、Washington リリースに存在する認証バイパス脆弱性 CVE-2025-0337 (CVSS:7.1) により、このプラットフォームにおける機密データへの不正アクセスが懸念されている。
ServiceNow が確認した範囲では、この脆弱性が悪用されると、認証済のユーザーによる制限されたデータへの不正アクセスが達成され、アクセス制御に対する想定外のバイパスの可能性が生じるとのことだ。
公式アドバイザリには、「この脆弱性が悪用された場合には、Now Platform 内に保存されている、本来はアクセス権限のないデータに対して、認証済のユーザーがアクセスを達成する可能性が生じる」と記されている。
この脆弱性 CVE-2025-0337 は、未認証のリモート・アクセスを許可するものではない。ただし、この欠陥により内部データ・セキュリティが弱まり、ServiceNow が管理する IT サービス管理 (ITSM) や顧客関係管理 (CRM) などの、重要なビジネス・プロセス内の機密レコードが暴露される可能性がある。
ServiceNow は Fortune 500 企業や、政府機関、IT サービス・プロバイダーなどで広く使用されているため、データ・セキュリティに影響を及ぼす脆弱性は、広範囲に影響を及ぼすと懸念される。
この脆弱性は、Washington DC Patch 9/Xanadu Patch 4/Yokohama General Availability Patch 1 リリースで修正されている。すべてのホスト・タイプよびセルフホスト・タイプの顧客とパートナーに対して、これらのパッチが提供されている。
すべての顧客に対して ServiceNow が強く推奨するのは、必要なパッチを速やかに適用し、悪用のリスクを軽減することだ。それぞれのユーザーは、通常のアップデート・チャネルを通じて、また、ServiceNow サポートへの問い合わせにより、最新のパッチを入手できる。
Fortune 500 企業や政府機関などの多くの組織で利用されている、ServiceNow Now Platform の脆弱性が FIXしました。2024年7月には、同製品の別の脆弱性が攻撃に悪用され、CISA KEV に登録されています。ご利用のチームは、迅速なパッチの適用を、ご検討ください。よろしければ以下の関連記事も、ServiceNow で検索と併せて、ご参照下さい。
2024/10/30:ServiceNow の脆弱性 CVE-2024-8923/8924 が FIX
2024/07/29:ServiceNow の脆弱性が CISA KEV に登録
IoT OT Security News 
You must be logged in to post a comment.