Uma Nova Vulnerabilidade No ServiceNow Permite Que Usuários com Poucos Privilégios Descubram Informaça Protegidas por Meio da Contagem de Registros em Tabelas Restitas. Um falha, identificada como CVE-2025-3648 e batizada de “enumerração por contagem” pela varonis, foi descoberta em febreiro e afeta instâncias com controla de acesso configurados de forma individa ou excessivo permissiva.
Leia Tamboma
93% dos funcionários inseremo dados em ia sem abropad
Impostor Clona e EUA Voz do Secretário de Estado Dos EUA
O Problema Está na forma como o servicenow Avalia Múltiplas Regredas de Aceso. Mesmo quando um Usuário falha em parte dos critérios definitivamente pelas listas de control de acesso, um ploforma ainda exibir um total de registros de registro de registro de disponição, revevendo metadados sensíveis. ISSO INCLUI NOMES DE CAMPOS, CREDENCIAIS, DADOS PESSOALS E Detvilhes Internos.
Um varonis demonstrou que é possível automatizar um exploração da falha utilizando filtra em consultas pela url, como STARTSWITHAssim, CONTAINSAssim, = e !=Permitindo Que Informações Sejam Reveladas Caractere por Caractere. Um Técnica Tambéma Funciona em Contas de Auto-Registro, Potencializando O RiscoEspecialmente Organizações em Organizações que Permitem esse Tipo de Aceso.
Um serviceNow corrigiu o Problema Nas Versões recentes ao exigir que Todas como Regredas de Aceso Sejam Aprovadas Antes de Liberar Qualquer Dado. Tamboma foram adicionadas regredas específicas para consultas e filtros de segurança que ocultam contagens de linhas e evitam inferências indiretas.
Apesar de Não Haver Indícios de Exploraça Ativa, Especialistas Recomendam Que Administradores Revisem Manualmente como permissões em Suas Tabelas e Ajustem, como Regredas de Acendo para impedir Possíseis ataques futuros.
