Synthèse
Une vulnérabilité de sécurité de gravité « critique » a été trouvée dans les macros de l’interface utilisateur de ServiceNow dans les versions de Vancouver et de Washington D.C.. Cette vulnérabilité pourrait permettre à un utilisateur distant non authentifié d’exécuter du code arbitraire dans le contexte de la plateforme.
Risque
Impact estimé de la vulnérabilité sur la communauté de référence : MOYEN/JAUNE (60/100)1.
Typologie
- Remote Code Execution
Produits et versions concernés
Utah:
- Patch 10, versions antérieures au Hot Fix 3
- Patch 10a, versions antérieures au Hot Fix 2
Vancouver
- Patch 6, versions antérieures au Hot Fix 2
- Patch 7, versions antérieures au correctif 3b
- Patch 8, versions antérieures au Hot Fix 4
Washington DC
- Patch 1, versions antérieures au correctif 2b
- Patch 2, versions antérieures au Hot Fix 2
- Patch 3, versions antérieures au correctif 1
Mesures d’atténuation
Conformément aux déclarations du fournisseur, il est recommandé d’appliquer les atténuations disponibles en suivant les indications rapportées dans les bulletins de sécurité dans la section Références.
Identificateurs de vulnérabilité uniques
Références
https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1645154
1Cette estimation est réalisée en tenant compte de différents paramètres, parmi lesquels : CVSS, disponibilité des patch/workaround de contournement et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.
