ServiceNow ha revelado detalles de una falla de seguridad crítica ahora corregida que afecta a su plataforma de IA ServiceNow y que podría permitir a un usuario no autenticado hacerse pasar por otro usuario y realizar acciones arbitrarias como ese usuario.

La vulnerabilidad, rastreada como CVE-2025-12420 , tiene una puntuación CVSS de 9,3 sobre 10,0

«Este problema [...] podría permitir a un usuario no autenticado hacerse pasar por otro usuario y realizar las operaciones que el usuario suplantado tiene derecho a realizar», dijo la empresa dijo en un aviso publicado el lunes.

ServiceNow solucionó la deficiencia el 30 de octubre de 2025 mediante la implementación de una actualización de seguridad en la mayoría de las instancias alojadas, y la empresa también compartió los parches con los socios de ServiceNow y los clientes autohospedados.

Las siguientes versiones incluyen una corrección para CVE-2025-12420 -

  • Now Assist AI Agents (sn_aia): 5.1.18 o posterior y 5.2.19 o posterior
  • API de agente virtual (sn_va_as_service): 3.15.2 o posterior y 4.0.4 o posterior

ServiceNow atribuyó a Aaron Costello, jefe de investigación de seguridad de SaaS de AppOmni, el descubrimiento y la notificación de la falla en octubre de 2025. Si bien no hay pruebas de que la vulnerabilidad se haya explotado de forma espontánea, se recomienda a los usuarios que apliquen una actualización de seguridad adecuada lo antes posible para mitigar las posibles amenazas.

La revelación se produce casi dos meses después de AppOmni. revelada que los actores malintencionados pueden aprovechar las configuraciones predeterminadas de la plataforma de inteligencia artificial generativa (IA) Now Assist de ServiceNow y aprovechar sus capacidades de agencia para llevar a cabo ataques de inyección rápida de segundo orden.

Luego, el problema podría convertirse en un arma para ejecutar acciones no autorizadas, lo que permitiría a los atacantes copiar y filtrar datos corporativos confidenciales, modificar registros y aumentar los privilegios.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.