JarTee – shutterstock.com
Forscher von Varonis haben herausgefunden, dass eine Schwachstelle in der beliebten Workflow-Automatisierungs-Plattform von ServiceNow vertrauliche Informationen offenlegt. Nachdem die Safety-Experten den Anbieter bereits im vergangenen Jahr über die Softwarelücke informiert hatten, wurde die Plattform stillschweigend gepatcht und im Mai 2025 ein Sicherheits-Replace für seine Kunden veröffentlicht. Am 8. Juli gab ServiceNow dann eine CVE-Nummer (CVE-2025-3648) mit einer Beschreibung des Issues heraus.
„Das Replace von ServiceNow behebt eine Schwachstelle, die es Benutzern mit geringen Berechtigungen ermöglicht hätte, auf eingeschränkte Daten zuzugreifen“, erklärte Crawford Del Prete, Präsident von IDC, gegenüber CIO.com. „Angesichts der Artwork der Daten, mit denen ServiceNow umgeht, sind solche Situationen immer potenziell schwerwiegend.“
Zur Behebung des Issues müssten Administratoren sicherstellen, dass die Zugriffskontrolllisten (ACLs) ordnungsgemäß konfiguriert und intestine verwaltet werden, betont der IDC-Experte. „Positiv ist, dass mit den jüngsten Patches die Standardkonfiguration auf ‚Standardmäßig ablehnen‘ geändert wurde, um ein versehentlichen Zugriff für nicht privilegierte Benutzer zu verhindern.“
