ServiceNow - CVE-2024-8923
Date de publication :
Un défaut de validation des entrées dans la plateforme Now de ServiceNow permet à un attaquant non authentifié d'exécuter du code arbitraire avec les privilèges de la plateforme.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire
Exploitation
La vulnérabilité exploitée est du type
CWE-287: Improper Authentication
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Now Platform Xanadu
Versions antérieures au correctif Xanadu GA Release
Now Platform Washington DC
Versions antérieures au correctif Patch 4 Hot Fix 1a
Versions antérieures au correctif Washington DC Patch 5
Now Platform Vancouver
Versions antérieures au correctif Vancouver Patch 9 Hot Fix 2a
Versions antérieures au correctif Vancouver Patch 10
Solutions ou recommandations
Appliquer les correctifs suivants :
Now Platform Xanadu :
- Xanadu GA Release
Now Platform Washington DC :
- Washington DC Patch 4 Hot Fix 1a
- Washington DC Patch 5
Now Platform Vancouver :
- Vancouver Patch 9 Hot Fix 2a
- Vancouver Patch 10 ou ultérieur
Des informations complémentaires sont disponibles dans le bulletin de ServiceNow.