脆弱性  ·  2026-07-14

ServiceNow AI Platform Sandbox Escape Enables Unauthenticated Remote Code Execution

脆弱性High 影響度GlobalCVE-2026-6875
ServiceNowは、ServiceNow AI Platformの重大度の高い(CVSS 9.5)リモートコード実行脆弱性を開示およびパッチしました。この脆弱性により、認証されていないユーザーが特定の状況下でプラットフォームのAIサンドボックス隔離から逃れ、ServiceNow環境内でコードを実行できます。NVDエントリとServiceNowの独自のKB3137947勧告の両方を直接取得して確認済みで、両方とも2026-07-13付けです。
ServiceNow AI Platformは、エンタープライズITサービス管理、ワークフロー自動化、およびAI駆動型エージェントワークフロー全体に広く導入されています。AI実行環境内のサンドボックス逃亡により、認証されていない攻撃者が分離されたAIコード実行コンテキストから基盤となるプラットフォームにピボットでき、広く使用されているエンタープライズSaaSプラットフォーム全体にわたって機密の組織データ、自動化ロジック、および統合認証情報を公開する可能性があります。
認証されていない攻撃者が、ServiceNow AI Platformのサンドボックスコンポーネント(CWE-653、不適切な隔離/コンパートメンタライゼーション)に細工されたリクエストを送信して、意図されたAIコード実行サンドボックスから抜け出し、特定の状況下で認証なしでプラットフォーム内で任意のコードを実行します。
ServiceNow AI Platform(ホスト型、自社ホスト型、およびパートナーホスト型インスタンス)
ServiceNowはホスト型インスタンスにセキュリティアップデートを展開しました。自社ホスト型の顧客およびパートナーは、ServiceNow KB3137947に従って対応するセキュリティアップデートを適用する必要があります。
NVD - CVE-2026-6875ServiceNow KB3137947 - CVE-2026-6875 Sandbox Escape in ServiceNow AI Platform
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →