Critical ServiceNow AI Platform Vulnerability Enables Remote Code Execution
2026/02/26 CyberSecurityNews — エンタープライズ向けの ServiceNow AI Platform に存在する、深刻な脆弱性 CVE-2026-0542 (CVSS:9.8:Critical) が修正された。この脆弱性は、同プラットフォームのサンドボックス環境内に存在し、特定の条件下で未認証の攻撃者に悪用された場合に、リモートコード実行 (RCE) が引き起こされる可能性がある。
脆弱性 CVE-2026-0542 を悪用する攻撃者は、事前の認証や認証情報を必要とすることなく、影響を受けるシステム上で任意のコード実行が可能になる。
このコード実行は、信頼されていないコードを分離するために設計された、制限付き環境 ServiceNow Sandbox 内で発生する。
| Metric | Details |
|---|---|
| CVE ID | CVE-2026-0542 |
| Vulnerability Type | Remote Code Execution (RCE) |
| Affected Component | AI Platform (web, API, automation modules) |
| Impact | System compromise, data theft, workflow manipulation |
| Attack Vector | Remote network access, typically over HTTPS |
| Severity | Critical – CVSS 9.8 |
さらに、この悪用を成功させた攻撃者は、これらのサンドボックス制限を回避する可能性がある。その結果として、影響を受けるインスタンスへの不正アクセスや制御の奪取が可能となる。
悪用防止のため詳細な技術情報は公開されていないが、未認証 RCE の脆弱性は深刻なものであり過小評価できない。この種の脆弱性を脅威アクターたちが好む傾向があるのは、ユーザー操作や認証情報の窃取などを必要とせずに、システム侵害へ直接到達できるためである。すでに ServiceNow は、積極的な措置を講じ、この深刻な脆弱性に対処している。
同社のセキュリティ・アドバイザリ (KB2693566) によると、2026年01月06日の時点で、影響を受けるホステッド・カスタマー・インスタンスへのセキュリティ更新が展開されている。また、セルフ・ホステッド・ユーザーおよびパートナー向けにも、セキュリティ更新が提供されている。
ServiceNow は、このアドバイザリの公開時点において、顧客インスタンスを標的とする実際の悪用は確認していないと述べている。
しかし、潜在的な影響は、更新適用の必要性を強く示している。同社が推奨するのは、提供された更新または最新バージョンへの、速やかなアップデートである。
January Patching Program に参加した顧客は、すでに必要な更新を受領しているはずである。以下の表は、各 ServiceNow リリースにおける脆弱性の詳細と、利用可能なパッチを示す。
| Release | Patch / Hotfix | Release Date |
|---|---|---|
| Zurich | Patch 4 Hotfix 3b | Feb 23, 2026 |
| Zurich | Patch 5 | Jan 12, 2026 |
| Yokohama | Patch 10 Hotfix 1b | Feb 18, 2026 |
| Yokohama | Patch 12 | Feb 6, 2026 |
| Xanadu | Patch 11 Hotfix 1a | Feb 2, 2026 |
| Australia | Pending Fix | Expected Q2 2026 |
ServiceNow を利用する組織は、CVE-2026-0542 の潜在的悪用から環境を保護するために、アドバイザリを確認のうえ、必要なパッチを直ちに適用すべきである。
エンタープライズ向け管理プラットフォームの要である ServiceNow の、AI Platform のサンドボックス機能において、きわめて深刻な脆弱性 (CVSS:9.8:Critical) が発見されました。この脆弱性の最大のリスクは、未認証のリモート攻撃者に対して、サーバ上での任意のコード実行を許してしまう点にあります。通常、ServiceNow のようなプラットフォームでは、信頼できないスクリプトや AI 処理はサンドボックスという隔離された制限環境での実行により安全性を担保しています。しかし、CVE-2026-0542 を悪用する攻撃者は、このサンドボックスの設計上の不備を突き、ホスト・システムやインスタンス全体へのアクセス権を奪取する恐れがあります。ご利用のチームは、ご注意ください。よろしければ、ServiceNow での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.