Lỗ hổng CVE-2026-6875: Rủi ro nghiêm trọng trên ServiceNow AI Platform

Lỗ hổng CVE-2026-6875: Rủi ro nghiêm trọng trên ServiceNow AI Platform

ServiceNow đã công bố và khắc phục một lỗ hổng bảo mật nghiêm trọng trong AI Platform của mình, cho phép kẻ tấn công không cần xác thực thực thi mã lệnh từ xa (RCE) bên trong các môi trường bị ảnh hưởng. Lỗ hổng này, được theo dõi dưới định danh CVE-2026-6875, được mô tả là một lỗ hổng thoát khỏi sandbox (sandbox escape).

Chi tiết về Lỗ hổng CVE-2026-6875

Lỗ hổng CVE-2026-6875 ảnh hưởng đến cả các triển khai ServiceNow được lưu trữ (hosted) và tự lưu trữ (self-hosted). ServiceNow cho biết lỗ hổng này có thể cho phép kẻ tấn công vượt qua các hạn chế của nền tảng và thực thi mã lệnh trong một số trường hợp nhất định. Do việc khai thác không yêu cầu xác thực, vấn đề này có thể gây ra rủi ro bảo mật nghiêm trọng cho các phiên bản ServiceNow chưa được cập nhật bản vá cần thiết.

Ảnh hưởng đến Hệ thống Doanh nghiệp

ServiceNow được sử dụng rộng rãi trong các doanh nghiệp cho quản lý dịch vụ IT, tự động hóa quy trình làm việc, vận hành khách hàng, vận hành an ninh và các quy trình kinh doanh nội bộ. Một cuộc tấn công thực thi mã lệnh từ xa thành công vào một nền tảng như vậy có thể cho phép kẻ tấn công phá vỡ quy trình làm việc, truy cập dữ liệu nhạy cảm, sửa đổi hồ sơ hoặc sử dụng môi trường bị xâm phạm làm điểm khởi đầu cho các hoạt động tiếp theo.

Công ty chưa công bố thông tin kỹ thuật chi tiết về nguyên nhân gốc rễ của lỗ hổng. Tuy nhiên, bản tin bảo mật đã được xuất bản dưới dạng KB3137947 vào ngày 13 tháng 7 năm 2026. Việc giới hạn chi tiết nhằm tạo thời gian cho khách hàng áp dụng bản vá trước khi kẻ tấn công phát triển các mã khai thác đáng tin cậy.

Các Phiên bản bị ảnh hưởng và Bản vá

ServiceNow đã triển khai các bản cập nhật bảo mật cho các phiên bản lưu trữ của mình. Công ty cũng đã cung cấp các bản cập nhật liên quan cho khách hàng và đối tác tự lưu trữ. Các tổ chức tự quản lý môi trường ServiceNow của mình nên xem xét phiên bản gia đình (family release) hiện tại và cài đặt bản vá phù hợp hoặc nâng cấp lên phiên bản đã được sửa lỗi càng sớm càng tốt.

Cập nhật bản vá cho các dòng sản phẩm

Vấn đề đã được khắc phục trong các bản phát hành Brazil Early AccessBrazil General Availability. Đối với dòng sản phẩm Australia, lỗ hổng được giải quyết trong Australia Patch 2. Khách hàng sử dụng dòng sản phẩm Zurich nên cài đặt Zurich Patch 7b hoặc Zurich Patch 9. Người dùng Yokohama được bảo vệ bởi Yokohama Patch 12 Hot Fix 1b hoặc Yokohama Patch 13.

Thông tin chi tiết về các bản vá có thể được tìm thấy trong các thông báo của ServiceNow, bao gồm KB2930717 và KB2930740.

Khuyến nghị và các Bước hành động

ServiceNow cho biết hiện tại họ chưa ghi nhận bất kỳ hoạt động khai thác CVE-2026-6875 nào đang diễn ra. Tuy nhiên, việc công khai một lỗ hổng thực thi mã lệnh từ xa chưa xác thực có thể nhanh chóng thu hút sự chú ý từ các nhà nghiên cứu bảo mật và các tác nhân độc hại. Do đó, các tổ chức nên coi vấn đề này là khẩn cấp ngay cả khi chưa quan sát thấy hoạt động đáng ngờ.

Xác minh và Giám sát Hệ thống

Quản trị viên nên xác nhận liệu phiên bản ServiceNow của họ có được lưu trữ bởi ServiceNow hay được triển khai trong môi trường tự lưu trữ hay không. Khách hàng sử dụng dịch vụ lưu trữ nên xác minh rằng bản cập nhật nền tảng đã được áp dụng. Đồng thời, quản trị viên tự lưu trữ nên xem xét hướng dẫn bảo trì bảo mật và trạng thái bản vá của ServiceNow.

Các nhóm bảo mật cũng nên giám sát hoạt động hành chính, các tích hợp bất thường, thay đổi quy trình làm việc không mong muốn và hành vi API đáng ngờ sau khi cập nhật. Việc khắc phục nhanh chóng vẫn là biện pháp phòng thủ hiệu quả nhất chống lại các hoạt động khai thác tiềm ẩn.

Bản ghi CVE cho CVE-2026-6875 có sẵn thông qua CVE.org.