- ServiceNow, kullanıcının kimliğine bürünmeye olanak tanıyan kritik AI Platform kusurunu (CVE-2025-12420) yamalıyor
- “BodySnatcher” 9,3/10 puan aldı ve birden fazla uygulama sürümünü etkiledi
- Henüz herhangi bir istismar görülmedi; uzmanlar yama yapılmayan sistemlerin düzeltme sonrasında risk altında kalacağı konusunda uyarıyor
ServiceNow, en popülerlerden biri bulut BT ve iş akışlarını otomatikleştirmeye yönelik platformlar, yakın zamanda tehdit aktörlerinin diğer kullanıcıların kimliğine bürünmesine ve onların yerine keyfi eylemler gerçekleştirmesine olanak tanıyan kritik önem derecesine sahip bir güvenlik açığını yamaladığını söyledi.
Şirket, SaaS güvenlik ekibi AppOmni’nin Ekim 2025’te AI Platformunda kendisine kritik bir ayrıcalık yükseltme güvenlik açığı bildirdiğini açıkladı. Yapılan incelemenin ardından şirket, hatayı CVE-2025-12420 olarak izlemeye başladı ve ona 9,3/10 (kritik) önem puanı verdi.
“Bu konu […] Kimliği doğrulanmamış bir kullanıcının başka bir kullanıcının kimliğine bürünmesine ve kimliğe bürünen kullanıcının gerçekleştirme hakkına sahip olduğu işlemleri gerçekleştirmesine olanak sağlayabilir” ifadesi yer alıyor. “30 Ekim 2025’te ServiceNow, barındırılan örneklerin çoğuna ilgili bir güvenlik güncellemesi dağıtarak bu güvenlik açığını giderdi”. Ayrıca, ServiceNow iş ortaklarına ve kendi kendine barındırılan müşterilere de güvenlik güncellemeleri sağlandı. Ayrıca güvenlik açığı, listelenen Mağaza Uygulaması sürümlerinde de giderildi.”
Şimdiye kadarki en büyük hata?
Bu sürümler için yamalar yayınlandı:
Şimdi Yapay Zeka Temsilcilerine Yardım Edin (sn_aia) – 5.1.18 veya üzeri ve 5.2.19 veya üzeri
Sanal Aracı API’si (sn_va_as_service) – 3.15.2 veya üstü ve 4.0.4 veya üstü
Şu ana kadar güvenlik açığının vahşi ortamda kötüye kullanıldığına dair bir kanıt yok. Ancak bir hatanın yalnızca bir düzeltmenin yayınlanmasından sonra kullanılmaya başlanması alışılmadık bir durum değildir. Çoğu siber suçlu, sıfır günleri tespit edecek bilgi veya kaynağa sahip değildir ve bunun yerine, birçok işletmenin yazılımlarına zamanında yama yapmadığı gerçeğine güvenmektedir.
Kusuru keşfeden AppOmni, buna “BodySnatcher” adını verdi.
Bir araştırmacı, “BodySnatcher, bugüne kadar ortaya çıkarılan en ciddi yapay zeka kaynaklı güvenlik açığıdır: Saldırganlar, bir kuruluşun yapay zekasını etkili bir şekilde ‘uzaktan kontrol edebilir’ ve kurumu basitleştirmeyi amaçlayan araçları silah haline getirebilir” dedi. Hacker Haberleri.
Aracılığıyla Hacker Haberleri
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.