|
|
||
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ServiceNow Now Platform是一个基于云计算的软件平台,旨在帮助企业整合、数字化和自动化工作流程,以提高经营效率并优化服务管理、运营管理和业务分析等领域的性能。
2024年10月31日,启明星辰集团VSRC监测到ServiceNow修复了Now Platform中的一个沙箱逃逸漏洞(CVE-2024-8923),该漏洞的CVSS评分为9.3。
ServiceNow Now Platform在处理用户输入时缺乏充分验证,攻击者可通过构造恶意请求发送特定输入数据来利用该漏洞,从而可能导致沙箱逃逸和远程代码执行,成功利用该漏洞的攻击者可能导致服务中断、获取敏感信息或在Now Platform 的上下文中执行任意代码。
二、影响范围
ServiceNow Xanadu < Xanadu GA Release
ServiceNow Washington DC < Washington DC Patch 4 Hot Fix 1a
ServiceNow Washington DC < Washington DC Patch 5
ServiceNow Vancouver < Vancouver Patch 9 Hot Fix 2a
ServiceNow Vancouver < Vancouver Patch 10
三、安全措施
3.1 升级版本
目前该漏洞已经修复,受影响用户可升级到以下版本:
ServiceNow Xanadu:升级到Xanadu GA Release
ServiceNow Washington DC:升级到Washington DC Patch 4 Hot Fix 1a
ServiceNow Washington DC:升级到Washington DC Patch 5
ServiceNow Vancouver:升级到Vancouver Patch 9 Hot Fix 2a
ServiceNow Vancouver:升级到Vancouver Patch 10
下载链接:
https://support.servicenow.com/now
3.2 临时措施
暂无。
3.3 通用建议
定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
使用企业级安全产品,提升企业的网络安全性能。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
启用强密码策略并设置为定期修改。
3.4 参考链接
https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1706070
https://nvd.nist.gov/vuln/detail/CVE-2024-8923
原文始发于微信公众号(启明星辰安全简讯):【漏洞通告】ServiceNow沙箱逃逸漏洞(CVE-2024-8923)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论