Kerentanan  ·  2026-07-14

Sandbox Escape ServiceNow AI Platform Memungkinkan Remote Code Execution Tanpa Autentikasi

KerentananHigh dampakGlobalCVE-2026-6875
ServiceNow mengumumkan dan menambal kerentanan remote code execution kritis (CVSS 9.5) di ServiceNow AI Platform. Flaw ini memungkinkan pengguna yang tidak terauthentikasi, dalam keadaan tertentu, untuk meloloskan diri dari isolasi sandbox platform AI dan mengeksekusi kode dalam lingkungan ServiceNow. Dikonfirmasi melalui pengambilan langsung dari entri NVD dan advisory KB3137947 ServiceNow sendiri, keduanya bertanggal 2026-07-13.
ServiceNow AI Platform digunakan secara luas di seluruh IT service management enterprise, workflow automation, dan workflow agent yang didorong AI. Sandbox escape di lingkungan eksekusi AI dapat memungkinkan penyerang tanpa autentikasi untuk pivot dari konteks eksekusi kode AI yang terisolasi ke platform dasar, mengekspos data organisasi yang sensitif, logika otomasi, dan kredensial integrasi di seluruh platform SaaS enterprise yang digunakan secara luas.
Penyerang tanpa autentikasi mengirimkan permintaan yang dirancang ke komponen sandbox ServiceNow AI Platform (CWE-653, Improper Isolation/Compartmentalization) untuk keluar dari sandbox eksekusi kode AI yang dimaksudkan dan mengeksekusi kode sembarang dalam platform, dalam keadaan tertentu tanpa autentikasi.
ServiceNow AI Platform (hosted instances, self-hosted, dan partner-hosted instances)
ServiceNow telah menerapkan update keamanan ke hosted instances; pelanggan self-hosted dan partner harus menerapkan update keamanan yang sesuai sesuai KB3137947 ServiceNow.
NVD - CVE-2026-6875ServiceNow KB3137947 - CVE-2026-6875 Sandbox Escape in ServiceNow AI Platform
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →