CEVIU Logo
Voltar

Vulnerabilidade Crítica no ServiceNow Permite Execução Remota de Código Pré-Autenticação

Aprofundamento CEVIU

Aprofundamento

A vulnerabilidade CVE-2026-6875 no ServiceNow expôs uma superfície de ataque crítica, permitindo execução remota de código (RCE) pré-autenticação. Pesquisadores identificaram a brecha nos filtros de consulta GlideRecord, que processam expressões JavaScript dentro de um sandbox. A exploração dependeu da manipulação de includes de script e objetos globais para escapar desse ambiente restrito. A técnica de evasão envolveu a redefinição de funções globais, como Object.clone e a propriedade constructor de Class.create, aproveitando como o gs.include() processava bibliotecas. Isso permitiu a execução de código arbitrário em um contexto Rhino sem isolamento.

Com essa RCE, atacantes poderiam realizar a exfiltração de dados sensíveis, criar contas de administrador para obter controle total do sistema e até executar comandos diretamente nos servidores proxy conectados. A falha ressalta a complexidade de proteger plataformas empresariais que permitem a execução de código de terceiros, mesmo em ambientes aparentemente isolados.

O que mudou

Esta nova vulnerabilidade representa uma evolução no cenário de ameaças para o ServiceNow. A mesma equipe de pesquisadores já havia descoberto outra falha crítica de RCE pré-autenticação no ServiceNow “quase dois anos atrás”, demonstrando a persistência e a criatividade dos atacantes em encontrar novos vetores de ataque em funcionalidades de processamento de scripts. Embora o impacto seja similar ao da falha anterior, o método de exploração é distinto, forçando o ServiceNow a refinar suas defesas.

Como resposta direta, o ServiceNow não só implementou mitigações imediatas, bloqueando a modificação de funções JavaScript essenciais, mas também introduziu o Guarded Script. Esta é uma mudança arquitetônica significativa, que restringe drasticamente o código de filtro pré-autenticação, aceitando apenas expressões simples. Isso visa dificultar futuras tentativas de evasão de sandbox, elevando a barra para novos ataques do tipo.

Por que isso importa

Esta vulnerabilidade é um lembrete importante dos riscos inerentes a plataformas como o ServiceNow, que gerenciam dados e operações críticas de empresas. Uma RCE pré-autenticação permite que um atacante obtenha controle total do sistema sem precisar de credenciais válidas, transformando-o em um alvo de alto valor para espionagem corporativa, sabotagem ou roubo de dados. A resposta rápida do ServiceNow é crucial, mas a introdução do Guarded Script mostra que as defesas precisam evoluir constantemente para combater as técnicas cada vez mais sofisticadas dos cibercriminosos.

Para as empresas, é essencial manter os sistemas atualizados e monitorar de perto as notificações de segurança. A lição aqui é que a complexidade de ambientes com execução de scripts customizáveis, mesmo em sandboxes, sempre pode apresentar superfícies de ataque inusitadas que exigem vigilância contínua e aprimoramento das práticas de segurança.

Linha do tempo

  1. Vulnerabilidade CVE-2026-6875 reportada ao ServiceNow pela equipe de pesquisa.

  2. ServiceNow implementa mitigações iniciais em todas as instâncias em nuvem em 24 horas.

  3. Divulgação pública da vulnerabilidade crítica CVE-2026-6875 no ServiceNow.

Perguntas frequentes

O que é a vulnerabilidade CVE-2026-6875 no ServiceNow?

É uma falha crítica de execução remota de código (RCE) que afeta o ServiceNow. Essa brecha permitia que atacantes sem autenticação executassem comandos arbitrários no sistema, explorando filtros de consulta GlideRecord.

Como a vulnerabilidade permitia a execução de código sem autenticação?

Os pesquisadores descobriram que os filtros GlideRecord podiam processar expressões JavaScript em um sandbox. Eles então usaram uma técnica complexa para 'escapar' desse sandbox, manipulando a forma como o sistema carregava bibliotecas de script e objetos globais para injetar e executar código malicioso.

Quais foram os principais impactos dessa falha para as empresas?

A vulnerabilidade permitia a exfiltração de dados confidenciais, a criação de contas de administrador não autorizadas e a execução de comandos em servidores proxy conectados. Isso poderia levar a um comprometimento completo da instância do ServiceNow e da rede interna da empresa.

Que medidas o ServiceNow tomou para corrigir a CVE-2026-6875?

O ServiceNow agiu rapidamente, implementando mitigações em 24 horas após o reporte. As medidas incluíram o bloqueio da modificação de funções JavaScript essenciais e a introdução do Guarded Script, que restringe o código de filtro pré-autenticação a expressões mais simples.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
16 de julho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser