ServiceNow Flaw CVE-2025-3648 Could Lead to Data Exposure via Misconfigured ACLs
2025/07/10 TheHackerNews — ServiceNow プラットフォームに、深刻度の高いセキュリティ欠陥が発見された。コードネーム “Count(er) Strike” と呼ばれる、この脆弱性 CVE-2025-3648 (CVSS:8.2) は、Now Platform の 条件付き ACL (access control list) ルールを介した、データ推論の欠陥に該当する。ServiceNow のセキュリティ・アドバイザリには、「Now Platform の条件付き ACL コンフィグにより、レンジ・クエリ・リクエストを悪用する未認証のユーザーが、通常ではアクセスできないインスタンス・データを、推論できるという脆弱性が確認された」と記されている。
Continue reading “ServiceNow の脆弱性 CVE-2025-3648 が FIX:ACL ミスコンフィグによるデータ漏洩”
IoT OT Security News 