Vulnerabilidades críticas en ServiceNow 2025
Vulnerabilidad crítica - 10/07
Introducción
CVE-2025-3648 es una vulnerabilidad de seguridad detectada en la plataforma ServiceNow, un sistema que usan muchas empresas y gobiernos para gestionar servicios y datos internos. Esta falla permite que un usuario sin permisos suficientes, incluso alguien sin cuenta, pueda deducir información confidencial del sistema sin necesidad de ver directamente los datos.
Análisis
CVE-2025-3648 - CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N - 8.8
Esta vulnerabilidad no permite ver los datos directamente, pero sí deducir o inferir información confidencial enviando ciertas consultas al sistema y observando las respuestas en un ataque por inferencia usando recuento de registros. Si la configuración es débil o incorrecta, un atacante puede enviar muchas consultas, incluso sin permisos, y ver las respuestas tipo para reconstruir datos protegidos como nombres, identificadores, correos, departamentos o documentación.
Versiones afectadas
La empresa señaló que la vulnerabilidad afectó principalmente al Servicio del Subsistema de Autoridad de Seguridad Local (LSASS).
Recomendaciones
- Revisar los controles de acceso
- Aplicar los nuevos mecanismos de seguridad en las tablas sensibles
- Aplicar las ACL se confulta y los filtros de datos de seguridad
Workarounds
No hay workarounds disponibles para esta vulnerabilidad.