Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Immagine di un laboratorio di cybersecurity oscuro con schermo che mostra un codice complesso, silhouette di un hacker che tenta di violare una piattaforma AI sicura, server e luci che lampeggiano, evidenziando una vulnerabilità critica nel ServiceNow AI Platform.

Bug critico in ServiceNow AI: falla da 9.5 permette RCE senza autenticazione

14 Luglio 2026 07:57
In sintesi

ServiceNow ha corretto una grave falla di sandbox escape nella sua AI Platform, identificata come CVE-2026-6875 con un punteggio CVSS 9.5 (Critical). Il bug potrebbe consentire a un attaccante non autenticato di eseguire codice all'interno della piattaforma ServiceNow. La vulnerabilità interessa le release Brazil, Australia, Zurich e Yokohama.

ServiceNow ha risolto un grave bug di sicurezza nella sua piattaforma. Questo problema, identificato con il codice CVE-2026-6875, è stato valutato con un punteggio di gravità di 9.5. Un punteggio così alto significa che il problema è critico. Si tratta di un bug di evasione dalla sandbox, nella piattaforma AI di ServiceNow .

Il fatto che il problema di sicurezza sia stato identificato e risolto dimostra l’impegno di ServiceNow nella sicurezza dei suoi sistemi. In sostanza, il bug di sicurezza consentiva ad un utente malintenzionato, seppure in condizioni specifiche, di eseguire codice all’interno della piattaforma ServiceNow senza dover effettuare l’accesso.

La vulnerabilità colpisce alcune versioni specifiche, ovvero le versioni Brazil, Australia, Zurich e Yokohama. Le versioni aggiornate e sicure, sono: Brazil EA, Brazil GA, Australia Patch 2, Zurich Patch 7b, Zurich Patch 9, Yokohama Patch 12 Hot Fix 1b e Yokohama Patch 13.

Advertising

ServiceNow ha già risolto il problema per le istanze cloud che gestisce direttamente. Quindi, i clienti che utilizzano questi servizi possono stare tranquilli. I clienti che gestiscono in autonomia il proprio sistema devono invece aggiornare il software il prima possibile per evitare eventuali problemi di sicurezza. 

L’azienda non ha ancora condiviso dettagli tecnici sull’exploit. Non sono stati ancora segnalati attacchi confermati o esempi pubblici (PoC) di come sfruttare questa vulnerabilità.

Questo episodio ci ricorda che spostare servizi e dati nel cloud non li mette al sicuro. Semplicemente, il rischio viene affidato ad altri. Le aziende pagano per avere infrastrutture adeguate alle loro necessità e anche per affidare ad altri la sicurezza, la manutenzione e gli aggiornamenti. Per questo motivo, quando si rilevano importanti bug di sicurezza all’interno della piattaforma, le aspettative su come verrà gestito tutto il processo di fix e correzione del software sono molto più elevate.

Abbiamo investito in questa tranquillità operativa e quindi pretendiamo che i problemi importanti siano gestiti con urgenza e professionalità.

Il cloud non può promettere l’assenza di bug, ma deve dimostrare di saperli correggere rapidamente e con processi solidi. Per chi sceglie questi servizi, la fiducia resta il bene più prezioso: ed è una fiducia che va meritata ogni giorno, patch dopo patch.

Advertising

📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response