ServiceNow, 사용자 명의 도용을 허용할 수 있는 심각한 보안 결함 수정
- ServiceNow, 사용자 가장을 허용하는 심각한 AI 플랫폼 취약점(CVE-2025-12420) 수정
- “BodySnatcher”는 9.3/10을 획득했으며 여러 앱 버전에 영향을 미쳤습니다.
- 아직 착취는 발견되지 않았습니다. 전문가들은 패치가 적용되지 않은 시스템은 패치 후에도 여전히 위험에 처해 있다고 경고합니다.
IT 및 비즈니스 워크플로 자동화를 위한 가장 인기 있는 클라우드 플랫폼 중 하나인 ServiceNow는 최근 위협 행위자가 다른 사용자를 사칭하고 대신 임의의 작업을 수행할 수 있는 심각한 취약점을 패치했다고 밝혔습니다.
회사는 SaaS AppOmni 보안 팀이 2025년 10월 AI 플랫폼의 심각한 권한 상승 취약점을 통보했다고 밝혔습니다. 조사 후 회사는 버그를 CVE-2025-12420으로 추적하기 시작했으며 심각도 점수 9.3/10(긴급)을 부여했습니다.
“이 문제는 (…) 인증되지 않은 사용자가 다른 사용자를 사칭하여 가장된 사용자가 수행할 수 있는 작업을 수행할 수 있도록 허용할 수 있습니다.”라고 알림은 말합니다. “2025년 10월 30일 ServiceNow는 대부분의 호스팅 인스턴스에 관련 보안 업데이트를 배포하여 이 취약점을 해결했습니다.”라고 명시되어 있습니다. “ServiceNow 파트너와 자체 호스팅 고객에게도 보안 업데이트가 제공되었습니다. 또한 나열된 스토어 앱 버전의 취약점이 수정되었습니다.”
역대 가장 큰 실수?
다음 버전에 대한 패치가 출시되었습니다.
Now Assist AI 에이전트(sn_aia): 5.1.18 이상 및 5.2.19 이상
가상 에이전트 API(sn_va_as_service): 3.15.2 이상 및 4.0.4 이상
현재까지 이 취약점이 실제로 악용되고 있다는 증거는 없습니다. 그러나 수정 사항이 릴리스된 후에야 버그가 악용되기 시작하는 경우가 많습니다. 많은 사이버 범죄자는 제로데이를 찾을 수 있는 지식이나 자원이 없으며 대신 많은 기업이 소프트웨어를 제때에 적용하지 못한다는 사실에만 의존합니다.
이 결함을 발견한 AppOmni는 이를 “BodySnatcher”라고 명명했습니다.
한 연구원은 “BodySnatcher는 지금까지 발견된 가장 심각한 AI 기반 취약점입니다. 공격자는 조직의 AI를 효과적으로 ‘원격 제어’하여 기업을 단순화하기 위한 도구를 무기화할 수 있었습니다”라고 말했습니다. 해커 뉴스.
도로 해커 뉴스
모든 주머니에 맞는 최고의 바이러스 백신
Google 뉴스에서 TechRadar 팔로우 나 우리를 즐겨찾는 소스로 추가하세요 귀하의 피드에서 전문가로부터 뉴스, 리뷰 및 의견을 받으십시오. 팔로우 버튼을 꼭 눌러주세요!
물론 당신도 할 수 있다 TikTok에서 TechRadar 팔로우 뉴스, 리뷰, 비디오 언박싱을 받고 정기적인 업데이트를 받기 위해 왓츠앱 ~도