ServiceNow saldırganların müşteri verilerine erişmek için bir güvenlik
- Kaynak
- BleepingComputer
- Saat
- 23:10
- Ağırlık
- 94/100
ServiceNow, saldırganların müşteri örneklerinden veri sorgulamasına olanak tanıyan, kimlik doğrulaması gerektirmeyen bir erişim açığını içeren bir güvenlik olayı bildirdi. Şirket, savunmasız bir API uç noktasıyla bağlantılı olağan dışı etkinlikler tespit etti ve 5 Haziran 2026 tarihinde barındırılan müşteri örnekleri için bir güvenlik güncellemesi yayınladı.
Erişilen verilerin niteliği tam olarak açıklanmasa da bu açığın, yetkisiz kullanıcıların kimlik doğrulama gereksinimlerini atlayarak hassas kurumsal bilgiler ve destek biletleri içeren dahili veritabanı tablolarını görüntülemesine imkan tanıdığı belirtiliyor. Sorunun, kimlik doğrulaması yapılmamış isteklere hatalı bir şekilde izin veren bir REST uç noktası yapılandırmasından kaynaklandığı görülüyor.