ServiceNow披露了一个现已修复的关键安全漏洞的详细信息，该漏洞影响其ServiceNow AI平台，可能使未认证用户冒充其他用户并以该用户身份执行任意操作。

该漏洞编号为CVE-2025-12420，CVSS评分为9.3（满分10.0）。公司在周一发布的公告中表示："此问题可能使未认证用户冒充其他用户，并执行被冒充用户有权执行的操作。"

ServiceNow已于2025年10月30日通过向大多数托管实例部署安全更新解决了此缺陷，同时向ServiceNow合作伙伴和自托管客户分享了补丁程序。

以下版本包含针对CVE-2025-12420的修复：

• Now Assist AI代理 (sn_aia) - 5.1.18或更高版本及5.2.19或更高版本
• 虚拟代理API (sn_va_as_service) - 3.15.2或更高版本及4.0.4或更高版本

ServiceNow将漏洞发现归功于AppOmni的SaaS安全研究主管Aaron Costello，他于2025年10月发现并报告了该漏洞。虽然没有证据表明该漏洞已被野外利用，但建议用户尽快应用相应的安全更新以防范潜在威胁。

此次披露发生在AppOmni揭示恶意攻击者可利用ServiceNow Now Assist生成式人工智能平台的默认配置，并利用其代理能力进行二阶提示注入攻击的近两个月后。该问题可能被武器化以执行未授权操作，使攻击者能够复制外泄敏感企业数据、修改记录并提升权限。

觉得这篇文章有趣吗？请关注我们的Google News、Twitter和LinkedIn账号，阅读我们发布的更多独家内容。