CVE-2024-5217

Incomplete Input Validation in GlideExpression Script

CVSS 9.2 CRITICALEPSS 99.6%● KEVCWE-184

Em resumo

O ServiceNow não valida corretamente a entrada de usuários no mecanismo de scripts GlideExpression, permitindo que atacantes sem autenticação executem código arbitrário na plataforma. Isso é crítico porque coloca toda a infraestrutura do Now Platform em risco de comprometimento remoto.

Detalhe técnico

A validação incompleta de entrada (CWE-184) no GlideExpression permite execução remota de código sem autenticação através de entrada de script inadequadamente sanitizada. A vulnerabilidade afeta lançamentos Washington DC, Vancouver e anteriores; a exploração ocorre quando entrada não confiável atinge o contexto de execução do script sem validação suficiente, resultando em execução de código arbitrário com privilégios da plataforma.

Resumo gerado e traduzido por IA a partir da descrição oficial.

ServiceNow has addressed an input validation vulnerability that was identified in the Washington DC, Vancouver, and earlier Now Platform releases. This vulnerability could enable an unauthenticated user to remotely execute code within the context of the Now Platform. The vulnerability is addressed in the listed patches and hot fixes below, which were released during the June 2024 patching cycle. If you have not done so already, we recommend applying security patches relevant to your instance as soon as possible.

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Produtos afetados

ServiceNow · Now Platform

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1644293 https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1648313 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-5217 https://www.darkreading.com/cloud-security/patchnow-servicenow-critical-rce-bugs-active-exploit