Resumo rápido
ServiceNow divulgou e corrigiu uma vulnerabilidade crítica em sua ServiceNow AI Platform (CVE-2025-12420) que, segundo a fabricante, poderia permitir que um usuário não autenticado se passasse por outro usuário e executasse ações arbitrárias em seu nome.
O que se sabe
Segundo reportagem do The Hacker News baseada na divulgação da própria ServiceNow, a falha foi registrada como CVE-2025-12420 e recebeu uma pontuação CVSS de 9.3/10.0, indicando severidade crítica. A vulnerabilidade foi corrigida pela ServiceNow; a empresa descreveu o impacto em termos claros: “This issue [...] could enable an unauthenticated user to impersonate another user and perform arbitrary actions as that user.”
Vetor e limites da informação
De acordo com a nota pública compilada pelo veículo, a exploração afetaria a plataforma de IA da ServiceNow. A avaliação inicial da empresa apontou que a falha permitia bypass de controles de autenticação relacionados à funcionalidade de IA — em outras palavras, o invasor não precisava estar autenticado na instância para conduzir a ação de impersonação.
O relatório público não especifica detalhes técnicos que permitam reproduzir a exploração (payloads, requisições exatas, ou PoC), nem lista versões de produto afetadas de forma granular. Também não há confirmação pública, nas fontes consultadas, de exploração ativa em ambiente real antes da correção.
Impacto e recomendações imediatas
- Impacto: devido ao alto escore CVSS e à capacidade descrita de executar ações arbitrárias como outro usuário, o risco é operacional e de segurança de dados — um atacante poderia, em teoria, acessar funções administrativas ou dados sensíveis disponíveis à conta impersonada.
- Ação imediata: aplique os patches e atualizações liberados pela ServiceNow assim que possível. A reportagem indica que a falha já foi corrigida pela fornecedora.
- Mitigações adicionais: até que a correção seja confirmada em seu ambiente, revise logs de autenticação e auditoria em busca de acessos atípicos e aplique controles compensatórios: revisar privilégios de contas, reforçar autenticação multifator (MFA) para contas com poderes administrativos e limitar o uso de contas com privilégios elevados para fluxos automatizados de IA.
Observações para equipes de risco e CISO
Vulnerabilidades com possibilidade de impersonação representam risco direto à autenticação e autorização — pontos centrais para conformidade e proteção de dados. Mesmo quando um fornecedor emite um patch, as equipes devem validar a implementação, revisar logs de auditoria desde a janela de exposição e priorizar a análise de contas com acesso a dados sensíveis ou capacidades administrativas.
Evidências e fontes
As informações deste texto derivam da nota pública coberta pelo The Hacker News, que por sua vez se baseou na divulgação oficial da ServiceNow. Não foram encontradas nas fontes públicas evidências de exploração ativa em larga escala antes da correção. Se sua organização suspeita de atividade relacionada, trate como incidente e investigue com EDR/SIEM e logs de aplicação.
O que ainda falta
Não há na cobertura disponível:
- lista detalhada de versões afetadas com indicadores de atualização;
- PoC público ou amostras que expliquem o mecanismo técnico exato;
- confirmação de exploração em atacantes externos antes do patch.
Sem esses elementos, as equipes devem aplicar a correção e monitorar sinais de comprometimento.