- ServiceNow corrige falha crítica da AI Platform (CVE-2025-12420) permitindo a representação do usuário
- “BodySnatcher” obteve pontuação 9,3/10 e afetou várias versões do aplicativo
- Nenhuma exploração vista ainda; especialistas alertam que sistemas não corrigidos permanecem em risco após a correção
ServiceNow, um dos mais populares nuvem plataformas para automatizar fluxos de trabalho de TI e de negócios, disse que recentemente corrigiu uma vulnerabilidade de gravidade crítica que permitia que os agentes de ameaças se passassem por outros usuários e executassem ações arbitrárias em seu lugar.
A empresa revelou que a empresa de segurança SaaS AppOmni a notificou sobre uma vulnerabilidade crítica de escalonamento de privilégios em sua plataforma de IA em outubro de 2025. Após uma investigação, a empresa começou a rastrear o bug como CVE-2025-12420 e atribuiu-lhe uma pontuação de gravidade de 9,3/10 (crítico).
“Essa questão […] poderia permitir que um usuário não autenticado se passasse por outro usuário e executasse as operações que o usuário personificado tem direito a realizar”, diz o comunicado. “Em 30 de outubro de 2025, a ServiceNow abordou essa vulnerabilidade implantando uma atualização de segurança relevante para a maioria das instâncias hospedadas”, afirmou ainda. “Atualizações de segurança também foram fornecidas a parceiros da ServiceNow e clientes auto-hospedados. Além disso, a vulnerabilidade é abordada nas versões listadas do aplicativo Store.”
Maior bug de todos os tempos?
Os patches foram lançados para estas versões:
Agora Assist AI Agents (sn_aia) – 5.1.18 ou posterior e 5.2.19 ou posterior
API de agente virtual (sn_va_as_service) – 3.15.2 ou posterior e 4.0.4 ou posterior
Até agora, não há evidências de que a vulnerabilidade esteja sendo abusada na natureza. No entanto, não é incomum que um bug comece a ser explorado somente após o lançamento de uma correção. Muitos cibercriminosos não têm o conhecimento ou os recursos para caçar o dia zero e, em vez disso, confiam apenas no fato de que muitas empresas não conseguem corrigir seus softwares a tempo.
AppOmni, que descobriu a falha, apelidou-a de “BodySnatcher”.
“BodySnatcher é a vulnerabilidade mais grave causada por IA descoberta até o momento: os invasores poderiam efetivamente ‘controlar remotamente’ a IA de uma organização, transformando em armas as próprias ferramentas destinadas a simplificar a empresa”, disse um pesquisador. As notícias dos hackers.
Através As notícias dos hackers
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.