- ServiceNow menambal kelemahan Platform AI yang kritis (CVE-2025-12420) yang memungkinkan peniruan identitas pengguna
- “BodySnatcher” memperoleh skor 9,3/10 dan mempengaruhi beberapa versi aplikasi
- Belum ada eksploitasi yang terlihat; para ahli memperingatkan sistem yang belum ditambal tetap berisiko pasca perbaikan
ServiceNow, salah satu yang paling populer awan platform untuk mengotomatisasi TI dan alur kerja bisnis, mengatakan bahwa mereka baru-baru ini memperbaiki kerentanan tingkat kritis yang memungkinkan pelaku ancaman menyamar sebagai pengguna lain dan melakukan tindakan sewenang-wenang sebagai gantinya.
Perusahaan mengungkapkan bahwa perangkat keamanan SaaS, AppOmni, memberi tahu mereka tentang kerentanan eskalasi hak istimewa yang kritis dalam Platform AI-nya pada bulan Oktober 2025. Setelah penyelidikan, perusahaan mulai melacak bug tersebut sebagai CVE-2025-12420 dan memberinya skor tingkat keparahan 9,3/10 (kritis).
“Masalah ini […] dapat memungkinkan pengguna yang tidak diautentikasi untuk meniru identitas pengguna lain dan melakukan operasi yang berhak dilakukan oleh pengguna yang ditiru tersebut,” demikian bunyi penasehatan tersebut. “Pada tanggal 30 Oktober 2025, ServiceNow mengatasi kerentanan ini dengan menerapkan pembaruan keamanan yang relevan ke sebagian besar mesin virtual yang dihosting,” lanjutnya. “Pembaruan keamanan juga diberikan kepada mitra ServiceNow dan pelanggan yang dihosting sendiri. Selain itu, kerentanan telah diatasi dalam versi Aplikasi Store yang terdaftar.”
Bug terbesar yang pernah ada?
Tambalan dirilis untuk versi berikut:
Sekarang Bantu Agen AI (sn_aia) – 5.1.18 atau lebih baru dan 5.2.19 atau lebih baru
API Agen Virtual (sn_va_as_service) – 3.15.2 atau lebih baru dan 4.0.4 atau lebih baru
Sejauh ini, tidak ada bukti bahwa kerentanan tersebut disalahgunakan di alam liar. Namun, bukan hal yang aneh jika bug mulai dieksploitasi hanya setelah perbaikan dirilis. Banyak pelaku kejahatan siber tidak memiliki pengetahuan atau sumber daya untuk memburu zero-day, dan hanya mengandalkan fakta bahwa banyak bisnis yang gagal melakukan patching perangkat lunak mereka tepat waktu.
AppOmni, yang menemukan kelemahan tersebut, menjulukinya “BodySnatcher”.
“BodySnatcher adalah kerentanan paling parah yang disebabkan oleh AI yang ditemukan hingga saat ini: Penyerang bisa saja secara efektif ‘mengendalikan’ AI suatu organisasi dari jarak jauh, mempersenjatai alat yang dimaksudkan untuk menyederhanakan perusahaan,” kata seorang peneliti kepada Berita Peretas.
Melalui Berita Peretas
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
