취약점  ·  2026-07-14

ServiceNow AI Platform 샌드박스 탈출로 인한 인증되지 않은 원격 코드 실행

취약점High 영향도GlobalCVE-2026-6875
ServiceNow는 ServiceNow AI Platform의 중요(CVSS 9.5) 원격 코드 실행 취약점을 공개하고 패치했습니다. 이 결함은 특정 상황에서 인증되지 않은 사용자가 플랫폼의 AI 샌드박스 격리를 벗어나 ServiceNow 환경 내에서 코드를 실행할 수 있게 합니다. NVD 항목 및 ServiceNow의 KB3137947 권고 문서(모두 2026-07-13 날짜)를 직접 조회하여 확인되었습니다.
ServiceNow AI Platform은 엔터프라이즈 IT 서비스 관리, 워크플로우 자동화 및 AI 기반 에이전트 워크플로우 전반에 광범위하게 배포되어 있습니다. AI 실행 환경의 샌드박스 탈출은 인증되지 않은 공격자가 격리된 AI 코드 실행 컨텍스트에서 기본 플랫폼으로 피벗하여 널리 사용되는 엔터프라이즈 SaaS 플랫폼 전체에서 민감한 조직 데이터, 자동화 로직 및 통합 자격 증명을 노출시킬 수 있습니다.
인증되지 않은 공격자는 ServiceNow AI Platform의 샌드박스 구성 요소(CWE-653, 부적절한 격리/구획화)로 제작된 요청을 보내 의도된 AI 코드 실행 샌드박스에서 벗어나 특정 상황에서 인증 없이 플랫폼 내에서 임의의 코드를 실행합니다.
ServiceNow AI Platform(호스팅, 자체 호스팅 및 파트너 호스팅 인스턴스)
ServiceNow는 호스팅 인스턴스에 보안 업데이트를 배포했습니다. 자체 호스팅 고객 및 파트너는 ServiceNow KB3137947에 따라 해당 보안 업데이트를 적용해야 합니다.
NVD - CVE-2026-6875ServiceNow KB3137947 - CVE-2026-6875 Sandbox Escape in ServiceNow AI Platform
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →