Falha crítica na plataforma AI da ServiceNow permite impersonificação de usuários

BR Defense Center (By River de Morais e Silva)
vulnerabilidade

A ServiceNow divulgou uma falha de segurança crítica em sua plataforma AI, identificada como CVE-2025-12420, que permite a um usuário não autenticado se passar por outro usuário e realizar ações arbitrárias em seu nome. Com uma pontuação CVSS de 9.3, a vulnerabilidade foi corrigida em 30 de outubro de 2025, através de uma atualização de segurança aplicada à maioria das instâncias hospedadas. A empresa também compartilhou os patches com parceiros e clientes que utilizam a plataforma de forma autônoma. A falha foi descoberta por Aaron Costello, da AppOmni, e, embora não haja evidências de exploração ativa, a ServiceNow recomenda que os usuários apliquem as atualizações de segurança imediatamente para evitar possíveis ameaças. Essa divulgação ocorre após a AppOmni ter alertado sobre a possibilidade de ataques que exploram configurações padrão na plataforma Now Assist, permitindo que agentes maliciosos realizem injeções de comandos e acessem dados corporativos sensíveis. A situação destaca a importância de manter as plataformas atualizadas e seguras, especialmente em ambientes de SaaS.

Fonte: https://thehackernews.com/2026/01/servicenow-patches-critical-ai-platform.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
13/01/2026 • Risco: ALTO
VULNERABILIDADE

Falha crítica na plataforma AI da ServiceNow permite impersonificação de usuários

RESUMO EXECUTIVO
A vulnerabilidade CVE-2025-12420 na plataforma AI da ServiceNow permite que usuários não autenticados se passem por outros usuários, potencialmente comprometendo dados sensíveis. A correção foi disponibilizada em 30 de outubro de 2025, e a situação exige atenção imediata dos CISOs para garantir a segurança e conformidade.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a vazamentos de dados e danos à reputação.
Operacional
Possibilidade de ações não autorizadas e exfiltração de dados sensíveis.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Saúde']

📊 INDICADORES CHAVE

Pontuação CVSS de 9.3 Indicador
Falha descoberta em outubro de 2025 Contexto BR
Patch lançado em 30 de outubro de 2025 Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se a versão da plataforma está atualizada com o patch mais recente.
2 Aplicar imediatamente as atualizações de segurança fornecidas pela ServiceNow.
3 Monitorar atividades suspeitas e tentativas de acesso não autorizado nas contas de usuários.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de plataformas SaaS, especialmente em relação à proteção de dados sensíveis e conformidade com a LGPD.

⚖️ COMPLIANCE

Implicações na LGPD, especialmente em relação à proteção de dados pessoais.
Status
mitigado
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).