Utah, Vancouver, and Washington DC Now Platform

Die Schwachstelle liegt in der Now Platform von ServiceNow und betrifft die Releases Washington DC, Vancouver sowie ältere Ausgaben. Sie steckt konkret in der Verarbeitung von GlideExpression-Skripten, deren Eingabefilterung lückenhaft ist: Die Liste der unzulässigen Eingaben ist unvollständig, sodass bestimmte schädliche Eingaben nicht abgefangen werden. Dadurch kann ein Angreifer aus der Ferne und ohne gültige Zugangsdaten eigenen Code einschleusen und im Kontext der Now Platform ausführen. Da der Angriff weder eine Anmeldung noch eine Benutzerinteraktion erfordert, steht der Angriffsweg überall dort offen, wo eine betroffene Instanz erreichbar ist. Betroffen sind Organisationen, die die Now Platform für ihre Geschäftsabläufe einsetzen; gelingt die Ausführung von Code, kann der Angreifer auf die in der Plattform verarbeiteten Daten und Funktionen zugreifen und die Instanz unter seine Kontrolle bringen.