概要

ServiceNow は、その AI プラットフォームにおける深刻なセキュリティ脆弱性について発表しました。この脆弱性により、認証なしの攻撃者が ServiceNow サンドボックス環境内で任意のコードをリモートで実行できる可能性があります。

脆弱性の詳細

CVE-2026-0542 として追跡されているこの脆弱性は、特定条件下でのみ発生しますが、攻撃者は ServiceNow サンドボックス内で任意のコードを実行できる可能性があります。これにより、ワークフロー データや自動化ロジック、企業間統合などの機密情報にアクセスする可能性があります。

影響範囲

ServiceNow は、発表時点で顧客インスタンスに対するアクティブな攻撃の兆候は確認されていないと報告しています。しかし、インターネット経由でアクセス可能なまたは外部統合が行われている ServiceNow の展開では、この脆弱性をすぐに修正することが重要です。

対応策

ServiceNow は、ホストされた顧客インスタンスに対して 2026 年 1 月 6 日にセキュリティ更新プログラムを展開しました。自社でホストしている顧客やパートナー向けにはパッチも用意されています。

パッチと修正バージョン

• Australia: Q2 2026 予定
• Zurich Patch 4 Hotfix 3b: 2026 年 2 月 23 日
• Zurich Patch 5: 2026 年 1 月 12 日
• Yokohama Patch 10 Hotfix 1b: 2026 年 2 月 18 日
• Yokohama Patch 12: 2026 年 2 月 6 日
• Xanadu Patch 11 Hotfix 1a: 2026 年 2 月 2 日

組織は上記のパッチをすぐに適用する必要があります。また、1 月のパッチプログラムに参加した顧客は既に対応済みです。

元記事: https://gbhackers.com/servicenow-ai-platform-vulnerability/