ServiceNow parcheó una vulnerabilidad el 5 de junio que había permitido el acceso no autenticado a datos de clientes desde al menos abril, exponiendo registros empresariales sensibles a un posible robo.
Atrás
Un error de ServiceNow expuso datos de clientes durante 2 meses antes del parche
ServiceNow parcheó una vulnerabilidad el 5 de junio que había permitido el acceso no autenticado a datos de clientes desde al menos abril, exponiendo registros empresariales sensibles a un posible robo.
ServiceNow parcheó una vulnerabilidad el 5 de junio que permitía a atacantes no autenticados consultar datos de instancias de clientes, exponiendo tickets de soporte técnico y registros de empleados almacenados en la plataforma en la nube utilizada por miles de empresas.
"La actualización abordaba un problema de seguridad que podría permitir que un usuario no autenticado, en ciertas circunstancias, obtuviera un mayor acceso a las instancias de ServiceNow del previsto", indicó la empresa en un boletín de soporte compartido con los clientes afectados.
La falla involucraba un endpoint REST en /api/now/related_list_edit/create configurado con requires_authentication=false, según administradores en Reddit. ServiceNow detectó actividad anómala y observó consultas exitosas a tablas de instancias contra un subconjunto de clientes. La empresa ha abierto casos de soporte con las organizaciones afectadas.
ServiceNow, que cotiza aproximadamente a 18 veces las ganancias futuras, almacena datos empresariales sensibles —incluyendo credenciales, tokens API y documentación interna— en sus tickets de soporte. El incidente podría erosionar la confianza en una plataforma utilizada por empresas, incluidas muchas de la Fortune 500, para automatizar flujos de trabajo de TI, RR.HH. y servicio al cliente.
La vulnerabilidad afectó principalmente a los clientes en la versión de ServiceNow para Australia o a aquellos en versiones anteriores que realizaron ciertos cambios de configuración. Los defensores de redes identificaron una dirección IP —51.159.98.241— como un indicador de compromiso e instaron a los administradores a revisar los registros en busca de solicitudes al endpoint vulnerable.
Un usuario de Reddit llamado "d3s7iny" afirmó que su equipo de seguridad reportó la vulnerabilidad a ServiceNow, y que la empresa conocía el problema internamente desde el 7 de abril. Durante aproximadamente dos meses, ServiceNow lo clasificó como no urgente, planeando solucionarlo en una actualización futura antes de que se detectara la explotación.
El incidente pone de relieve la concentración de riesgos en las plataformas SaaS empresariales. La nube de ServiceNow gestiona servicios de TI, sistemas de RR.HH. y flujos de trabajo de atención al cliente. Los tickets de soporte contienen frecuentemente contraseñas, claves de cifrado y secretos de autenticación compartidos durante la resolución de problemas, lo que los convierte en un objetivo cada vez más popular para los actores de amenazas, como se ha visto en recientes ataques a la plataforma Drift de Salesforce.
ServiceNow está evaluando si asignar un CVE a la vulnerabilidad. La empresa no ha revelado cuántos clientes se vieron afectados, qué datos específicos fueron accedidos ni quién podría estar detrás de los intentos de explotación. Se recomienda a los administradores revisar los registros en busca de solicitudes al endpoint vulnerable y rotar cualquier credencial compartida a través de los flujos de soporte.
Este artículo tiene fines meramente informativos y no constituye asesoramiento de inversión.
[1] ServiceNow informa a los clientes que un error dejó expuestos algunos de sus datos en internet[2] ServiceNow divulga incidente de seguridad que expone datos de clientes[3] Fallos de ServiceNow explotados para obtener acceso no autorizado a instancias de clientes[4] ServiceNow parchea vulnerabilidad explotada contra algunos clientes
Características
© 2026 Edgen impulsado por