ServiceNow Vulnerability Enables Privilege Escalation Without Authentication
2026/01/13 gbhackers — ServiceNow の AI プラットフォームで発見された、深刻な権限昇格の脆弱性 CVE-2025-12420 が、世界中の企業ユーザーに深刻なリスクをもたらしている。この脆弱性を悪用する未認証の攻撃者は、他のユーザーになりすますことでアカウントを侵害し、その権限を用いて不正な操作を実行できる。重要なビジネス・オペレーションに ServiceNow の AI 機能を利用している組織にとって、この脆弱性は深刻な脅威となる。
この脆弱性は、著名な SaaS セキュリティ企業である AppOmni により発見された。同社は 2025年10月に、協調的な脆弱性開示プロセスを通じて ServiceNow に報告を行った。
| Field | Value |
|---|---|
| CVE ID | CVE-2025-12420 |
| Vulnerability Type | Privilege Escalation |
| Affected Product | ServiceNow AI Platform |
ServiceNow は迅速に対応し、2025年10月30日に大半のホスト型インスタンスに対してセキュリティ・アップデートを適用した。あわせて、パートナー環境およびセルフホスト環境の顧客に対しても、この脆弱性に対処するためのパッチを提供している。すでに修正プログラムは提供されている。現時点で ServiceNow は、実環境における悪用インシデントを確認していないが、情報公開後にリスクが増大する可能性を踏まえ、迅速な対応を強く求めている。
この脆弱性の影響を受ける主なアプリケーションは2つである。1つ目の Now Assist AI Agents アプリケーションは、バージョン 5.1.18 以降/5.2.19 以降へのアップグレードが必要である。2つ目の Virtual Agent API は、バージョン 3.15.2 以降/4.0.4以降へのアップデートが必要となる。
すべての顧客に対して ServiceNow が強く推奨されるのは、適切なセキュリティ・アップデートまたはアップグレードを速やかに適用することである。潜在的なリスクを軽減するためにも、パッチ適用を最優先事項とすべきである。ServiceNow は、ホスト型およびセルフホスト型のデプロイメントに向けた、包括的なセキュリティ・メンテナンスの概要記事をナレッジベースに掲載している。
ビジネス基盤として広く普及している ServiceNow の AI 機能において、きわめて深刻な脆弱性が発見されました。この問題の原因は、ServiceNow の AI プラットフォームにおける、アカウント連携ロジックと認証の不備にあります。この脆弱性を悪用する未認証の攻撃者は、ユーザーになりすますことが可能になります。具体的には、Virtual Agent API などに存在するハードコードされたプラットフォーム共通の秘密情報が悪用され、AI エージェントを介してバックドア・アカウントの作成や機密データの窃取が行われるリスクが生じていました。ご利用のチームは、ご注意ください。よろしければ、ServiceNow での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.