- ServiceNow corrige vulnerabilidade crítica da plataforma de IA (CVE-2025-12420) permitindo identidade do usuário
- “BodySnatcher” obteve nota 9,3/10 e afetou várias versões do aplicativo
- Nenhuma exploração foi vista ainda; especialistas alertam que sistemas não corrigidos permanecem vulneráveis após a correção
ServiceNow, uma das plataformas de nuvem mais populares para automatizar fluxos de trabalho de TI e de negócios, disse que recentemente corrigiu uma vulnerabilidade crítica que poderia permitir que os agentes de ameaças se passassem por outros usuários e executassem ações arbitrárias em seu nome.
A empresa revelou que a ferramenta de segurança SaaS AppOmni relatou uma vulnerabilidade crítica de elevação de privilégio em sua plataforma AI em outubro de 2025. Após uma investigação, a empresa começou a rastrear o bug como CVE-2025-12420 e atribuiu-lhe uma pontuação de gravidade de 9,3/10 (crítico).
“Este problema (…) pode permitir que um usuário não autenticado se faça passar por outro usuário e execute operações que o usuário personificado tem direito a realizar”, diz o comunicado. “Em 30 de outubro de 2025, a ServiceNow resolveu essa vulnerabilidade lançando uma grande atualização de segurança para a maioria das instâncias hospedadas”, acrescentou. “Atualizações de segurança também foram fornecidas a parceiros ServiceNow e clientes auto-hospedados. Além disso, a vulnerabilidade é abordada nas versões de aplicativos da listagem da loja.”
O maior erro de todos os tempos?
Patches foram lançados para as seguintes versões:
Agora suporta AI Agents (sn_aia) – 5.1.18 ou posterior e 5.2.19 ou posterior
API de agente virtual (sn_va_as_service) – 3.15.2 ou posterior e 4.0.4 ou posterior
Até agora, não há evidências de que a vulnerabilidade esteja sendo abusada na natureza. No entanto, não é incomum que um bug comece a ser explorado somente após o lançamento de uma correção. Muitos cibercriminosos não têm conhecimento ou recursos para caçar zero-days e, em vez disso, dependem de muitas empresas que não corrigem seus softwares a tempo.
AppOmni, que descobriu o bug, chamou-o de “BodySnatcher”.
“BodySnatcher é a vulnerabilidade mais séria impulsionada pela IA descoberta até o momento: os invasores poderiam efetivamente ‘controlar remotamente’ a IA de uma organização, transformando em armas ferramentas de simplificação empresarial”, disse um pesquisador. Notícias sobre hackers.
Através Notícias sobre hackers
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
