概要

ServiceNowのAIプラットフォームにおいて、認証なしで特権昇格を可能にする重大な脆弱性（CVE-2025-12420）が発見されました。このセキュリティ欠陥は、エンタープライズユーザーに深刻なリスクをもたらす可能性があり、認証されていない攻撃者が他のユーザーになりすまし、侵害されたアカウントの権限に基づいて不正な操作を実行できるとされています。

脆弱性の詳細

この脆弱性は「特権昇格」タイプに分類され、特にServiceNow AIプラットフォームが影響を受けます。SaaSセキュリティ企業AppOmniによって発見され、2025年10月にServiceNowへ報告されました。この脆弱性は、ServiceNowのAI機能をビジネス運営に利用している組織にとって、極めて深刻な脅威となります。

ServiceNowの対応と推奨事項

ServiceNowは本件に対し迅速に対応し、2025年10月30日にはほとんどのホスト型インスタンスにセキュリティアップデートを展開しました。また、パートナーおよびセルフホスト型のお客様向けにもパッチを提供しています。現時点では、この脆弱性が実際に悪用された事例は確認されていませんが、情報公開に伴いリスクが増大しているため、ServiceNowは即座の対策を強く推奨しています。

影響を受ける主なアプリケーションと、それぞれに必要なバージョンアップグレードは以下の通りです。

• Now Assist AI Agents: バージョン5.1.18以降、または5.2.19以降へのアップグレードが必要です。
• Virtual Agent API: バージョン3.15.2以降、または4.0.4以降へのアップデートが必要です。

ServiceNowは、潜在的なリスクを軽減するため、すべてのお客様に適切なセキュリティアップデートまたはアップグレードを速やかに適用するよう強く勧告しています。ホスト型およびセルフホスト型の展開に関する包括的なセキュリティメンテナンス概要記事が、同社のナレッジベースで公開されています。

元記事: https://gbhackers.com/servicenow-vulnerability-enables-privilege-escalation/