Vulnerabilidade Crítica no ServiceNow Permite Execução Remota de Código Pré-Autenticação
Aprofundamento CEVIU
Aprofundamento
A vulnerabilidade CVE-2026-6875 no ServiceNow expôs uma superfície de ataque crítica, permitindo execução remota de código (RCE) pré-autenticação. Pesquisadores identificaram a brecha nos filtros de consulta GlideRecord, que processam expressões JavaScript dentro de um sandbox. A exploração dependeu da manipulação de includes de script e objetos globais para escapar desse ambiente restrito. A técnica de evasão envolveu a redefinição de funções globais, como Object.clone e a propriedade constructor de Class.create, aproveitando como o gs.include() processava bibliotecas. Isso permitiu a execução de código arbitrário em um contexto Rhino sem isolamento.
Com essa RCE, atacantes poderiam realizar a exfiltração de dados sensíveis, criar contas de administrador para obter controle total do sistema e até executar comandos diretamente nos servidores proxy conectados. A falha ressalta a complexidade de proteger plataformas empresariais que permitem a execução de código de terceiros, mesmo em ambientes aparentemente isolados.
O que mudou
Esta nova vulnerabilidade representa uma evolução no cenário de ameaças para o ServiceNow. A mesma equipe de pesquisadores já havia descoberto outra falha crítica de RCE pré-autenticação no ServiceNow “quase dois anos atrás”, demonstrando a persistência e a criatividade dos atacantes em encontrar novos vetores de ataque em funcionalidades de processamento de scripts. Embora o impacto seja similar ao da falha anterior, o método de exploração é distinto, forçando o ServiceNow a refinar suas defesas.
Como resposta direta, o ServiceNow não só implementou mitigações imediatas, bloqueando a modificação de funções JavaScript essenciais, mas também introduziu o Guarded Script. Esta é uma mudança arquitetônica significativa, que restringe drasticamente o código de filtro pré-autenticação, aceitando apenas expressões simples. Isso visa dificultar futuras tentativas de evasão de sandbox, elevando a barra para novos ataques do tipo.
Por que isso importa
Esta vulnerabilidade é um lembrete importante dos riscos inerentes a plataformas como o ServiceNow, que gerenciam dados e operações críticas de empresas. Uma RCE pré-autenticação permite que um atacante obtenha controle total do sistema sem precisar de credenciais válidas, transformando-o em um alvo de alto valor para espionagem corporativa, sabotagem ou roubo de dados. A resposta rápida do ServiceNow é crucial, mas a introdução do Guarded Script mostra que as defesas precisam evoluir constantemente para combater as técnicas cada vez mais sofisticadas dos cibercriminosos.
Para as empresas, é essencial manter os sistemas atualizados e monitorar de perto as notificações de segurança. A lição aqui é que a complexidade de ambientes com execução de scripts customizáveis, mesmo em sandboxes, sempre pode apresentar superfícies de ataque inusitadas que exigem vigilância contínua e aprimoramento das práticas de segurança.
Linha do tempo
Vulnerabilidade CVE-2026-6875 reportada ao ServiceNow pela equipe de pesquisa.
ServiceNow implementa mitigações iniciais em todas as instâncias em nuvem em 24 horas.
Divulgação pública da vulnerabilidade crítica CVE-2026-6875 no ServiceNow.
Perguntas frequentes
O que é a vulnerabilidade CVE-2026-6875 no ServiceNow?
É uma falha crítica de execução remota de código (RCE) que afeta o ServiceNow. Essa brecha permitia que atacantes sem autenticação executassem comandos arbitrários no sistema, explorando filtros de consulta GlideRecord.
Como a vulnerabilidade permitia a execução de código sem autenticação?
Os pesquisadores descobriram que os filtros GlideRecord podiam processar expressões JavaScript em um sandbox. Eles então usaram uma técnica complexa para 'escapar' desse sandbox, manipulando a forma como o sistema carregava bibliotecas de script e objetos globais para injetar e executar código malicioso.
Quais foram os principais impactos dessa falha para as empresas?
A vulnerabilidade permitia a exfiltração de dados confidenciais, a criação de contas de administrador não autorizadas e a execução de comandos em servidores proxy conectados. Isso poderia levar a um comprometimento completo da instância do ServiceNow e da rede interna da empresa.
Que medidas o ServiceNow tomou para corrigir a CVE-2026-6875?
O ServiceNow agiu rapidamente, implementando mitigações em 24 horas após o reporte. As medidas incluíram o bloqueio da modificação de funções JavaScript essenciais e a introdução do Guarded Script, que restringe o código de filtro pré-autenticação a expressões mais simples.
Fontes
- slcyber.iofonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 16 de julho de 2026
- Editoria
- CEVIU Segurança da Informação
