ServiceNow ha revelado detalles de una vulnerabilidad de seguridad crítica ahora solucionada que afecta su plataforma ServiceNow AI y que podría permitir que un usuario no autenticado se haga pasar por otro usuario y realice acciones arbitrarias como ese usuario.
La vulnerabilidad, rastreada como CVE-2025-12420tiene una puntuación CVSS de 9,3 sobre 10,0
“Este problema (…) podría permitir que un usuario no autenticado se haga pasar por otro usuario y realice las operaciones que el usuario suplantado está autorizado a realizar”, dijo la compañía en un aviso publicado el lunes.
ServiceNow solucionó la falla el 30 de octubre de 2025 mediante la implementación de una actualización de seguridad en la mayoría de las instancias alojadas, y la empresa también compartió los parches con los socios de ServiceNow y los clientes autohospedados.
Las siguientes versiones contienen una solución para CVE-2025-12420:
- Ahora ayude a los agentes de IA (sn_aia): 5.1.18 o posterior y 5.2.19 o posterior
- API de agente virtual (sn_va_as_service): 3.15.2 o posterior y 4.0.4 o posterior
ServiceNow le da crédito a Aaron Costello, jefe de investigación de seguridad de SaaS en AppOmni, por descubrir e informar la vulnerabilidad en octubre de 2025. Aunque no hay evidencia de que la vulnerabilidad haya sido explotada aún, se recomienda a los usuarios que apliquen una actualización de seguridad adecuada lo antes posible para mitigar las amenazas potenciales.
La divulgación se produce casi dos meses después de que AppOmni revelara que actores maliciosos podrían explotar las configuraciones predeterminadas en la plataforma de inteligencia artificial (IA) generativa de ServiceNow, Now Assist, y aprovechar las capacidades de su agente para realizar ataques de inyección rápida de segundo orden.
Luego, el problema podría usarse como arma para realizar acciones no autorizadas, permitiendo a los atacantes copiar y filtrar datos corporativos confidenciales, alterar registros y escalar privilegios.
About The Author
