In sintesiServiceNow ha corretto una grave falla di sandbox escape nella sua AI Platform, identificata come CVE-2026-6875 con un punteggio CVSS 9.5 (Critical). Il bug potrebbe consentire a un attaccante non autenticato di eseguire codice all'interno della piattaforma ServiceNow. La vulnerabilità interessa le release Brazil, Australia, Zurich e Yokohama.
ServiceNow ha risolto un grave bug di sicurezza nella sua piattaforma. Questo problema, identificato con il codice CVE-2026-6875, è stato valutato con un punteggio di gravità di 9.5. Un punteggio così alto significa che il problema è critico. Si tratta di un bug di evasione dalla sandbox, nella piattaforma AI di ServiceNow .
Il fatto che il problema di sicurezza sia stato identificato e risolto dimostra l’impegno di ServiceNow nella sicurezza dei suoi sistemi. In sostanza, il bug di sicurezza consentiva ad un utente malintenzionato, seppure in condizioni specifiche, di eseguire codice all’interno della piattaforma ServiceNow senza dover effettuare l’accesso.
La vulnerabilità colpisce alcune versioni specifiche, ovvero le versioni Brazil, Australia, Zurich e Yokohama. Le versioni aggiornate e sicure, sono: Brazil EA, Brazil GA, Australia Patch 2, Zurich Patch 7b, Zurich Patch 9, Yokohama Patch 12 Hot Fix 1b e Yokohama Patch 13.
ServiceNow ha già risolto il problema per le istanze cloud che gestisce direttamente. Quindi, i clienti che utilizzano questi servizi possono stare tranquilli. I clienti che gestiscono in autonomia il proprio sistema devono invece aggiornare il software il prima possibile per evitare eventuali problemi di sicurezza.
L’azienda non ha ancora condiviso dettagli tecnici sull’exploit. Non sono stati ancora segnalati attacchi confermati o esempi pubblici (PoC) di come sfruttare questa vulnerabilità.
Questo episodio ci ricorda che spostare servizi e dati nel cloud non li mette al sicuro. Semplicemente, il rischio viene affidato ad altri. Le aziende pagano per avere infrastrutture adeguate alle loro necessità e anche per affidare ad altri la sicurezza, la manutenzione e gli aggiornamenti. Per questo motivo, quando si rilevano importanti bug di sicurezza all’interno della piattaforma, le aspettative su come verrà gestito tutto il processo di fix e correzione del software sono molto più elevate.
Abbiamo investito in questa tranquillità operativa e quindi pretendiamo che i problemi importanti siano gestiti con urgenza e professionalità.
Il cloud non può promettere l’assenza di bug, ma deve dimostrare di saperli correggere rapidamente e con processi solidi. Per chi sceglie questi servizi, la fiducia resta il bene più prezioso: ed è una fiducia che va meritata ogni giorno, patch dopo patch.
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response