Apa yang terjadi
ServiceNow mengumumkan dan menambal kerentanan remote code execution kritis (CVSS 9.5) di ServiceNow AI Platform. Flaw ini memungkinkan pengguna yang tidak terauthentikasi, dalam keadaan tertentu, untuk meloloskan diri dari isolasi sandbox platform AI dan mengeksekusi kode dalam lingkungan ServiceNow. Dikonfirmasi melalui pengambilan langsung dari entri NVD dan advisory KB3137947 ServiceNow sendiri, keduanya bertanggal 2026-07-13.
Mengapa penting
ServiceNow AI Platform digunakan secara luas di seluruh IT service management enterprise, workflow automation, dan workflow agent yang didorong AI. Sandbox escape di lingkungan eksekusi AI dapat memungkinkan penyerang tanpa autentikasi untuk pivot dari konteks eksekusi kode AI yang terisolasi ke platform dasar, mengekspos data organisasi yang sensitif, logika otomasi, dan kredensial integrasi di seluruh platform SaaS enterprise yang digunakan secara luas.
Vektor serangan
Penyerang tanpa autentikasi mengirimkan permintaan yang dirancang ke komponen sandbox ServiceNow AI Platform (CWE-653, Improper Isolation/Compartmentalization) untuk keluar dari sandbox eksekusi kode AI yang dimaksudkan dan mengeksekusi kode sembarang dalam platform, dalam keadaan tertentu tanpa autentikasi.
Sistem yang terdampak
ServiceNow AI Platform (hosted instances, self-hosted, dan partner-hosted instances)
Mitigasi
ServiceNow telah menerapkan update keamanan ke hosted instances; pelanggan self-hosted dan partner harus menerapkan update keamanan yang sesuai sesuai KB3137947 ServiceNow.