Cibersegurança

ServiceNow fecha brecha crítica que permite “virar” outro usuário sem login

Falha crítica na ServiceNow AI Platform permite ações em nome de outro usuário; patch já tem versões mínimas claras.

Por
Emanuel Negromonte
PorEmanuel Negromonte
Emanuel Negromonte é Jornalista, Mestre em Tecnologia da Informação e atualmente cursa a segunda graduação em Engenharia de Software. Com 14 anos de experiência escrevendo sobre...
Follow:
Cibersegurança
4 min
CVE-2025-12420 no ServiceNow: falha crítica permite impersonação de usuário sem autenticação em ambientes com agentes de IA

A CVE-2025-12420 é uma vulnerabilidade crítica na ServiceNow AI Platform que permite impersonação de usuário sem autenticação, abrindo caminho para executar operações como se fosse outra pessoa. O problema recebeu CVSS 9,3 e afeta componentes ligados a agentes e automações do ecossistema de IA.

Instâncias que ainda não receberam o update ficam expostas a um cenário direto: um atacante consegue se passar por um usuário legítimo e realizar qualquer ação que esse usuário tenha permissão para executar, sem precisar credenciais. O ServiceNow publicou o alerta e informou que já aplicou a correção na maioria das instâncias hospedadas, com patches também disponibilizados para parceiros e clientes self-hosted.

Resumo Rápido

  • Risco: impersonação não autenticada com execução de ações no contexto do usuário alvo
  • Gravidade: CVSS 9,3 (crítica)
  • Correção: atualizar módulos específicos para versões mínimas corrigidas

Versões corrigidas (aplique o patch compatível com seu branch)

  • Now Assist AI Agents (sn_aia): 5.1.18 ou superior e 5.2.19 ou superior
  • Virtual Agent API (sn_va_as_service): 3.15.2 ou superior e 4.0.4 ou superior

O que fazer agora (prioridade máxima)

  • Verifique se sua instância já recebeu o update (principalmente em ambientes hospedados).
  • Atualize os componentes listados para as versões mínimas corrigidas, respeitando o branch em uso.
  • Revise permissões e trilhas de auditoria para detectar ações incomuns executadas em nome de usuários privilegiados.

⚠️ Alerta: em ambientes onde Now Assist AI Agents e integrações agentic executam tarefas operacionais, a impersonação sem autenticação pode virar um multiplicador de impacto: acesso a dados, alterações de registros e ações administrativas passam a depender apenas das permissões do usuário que for “assumido”.

Contexto de ameaça
O ServiceNow creditou Aaron Costello (AppOmni) pela descoberta e reporte em outubro de 2025. Até o momento, não há indicação de exploração ativa, mas a janela de risco é clara: quanto mais tempo um ambiente fica sem atualização, maior a chance de abuso oportunista.

O alerta também aparece após a AppOmni ter destacado como configurações padrão na plataforma Now Assist podem permitir ataques de second-order prompt injection com execução de ações não autorizadas, como copiar e exfiltrar dados corporativos, modificar registros e escalar privilégios. Em conjunto, esses vetores reforçam a necessidade de tratar a correção como “patch de emergência” em stacks com IA operando processos.

Prós (✅) e contras (❌) do cenário de correção

  • ✅ Correção disponível com versões mínimas objetivas por componente
  • ✅ ServiceNow já atualizou a maioria das instâncias hospedadas
  • ❌ Clientes self-hosted e parceiros precisam validar e aplicar manualmente no branch correto
  • ❌ Impersonação não autenticada tende a ter impacto alto mesmo em ambientes “bem configurados”, porque explora permissões já existentes

⚖️ Veredito: se você usa ServiceNow com automações, Virtual Agent e agentes de IA em rotinas operacionais, trate a CVE-2025-12420 como prioridade máxima e não mantenha ambientes em branches abaixo das versões corrigidas.

TAGS:
Compartilhe este artigo
Sair da versão mobile