CVE-2025-12420

Flaw in ServiceNow AI Platform Allows User Impersonation

Une faille critique a été découverte dans la plateforme d’IA de ServiceNow, permettant à des utilisateurs non authentifiés d’usurper l’identité d’autres utilisateurs et d’exécuter des actions en leur nom. Cette vulnérabilité, identifiée sous le nom de CVE-2025-12420, a reçu un score CVSS de 9.3, indiquant un risque élevé.

Points Clés :

• Nature de la vulnérabilité : Permet à un attaquant non authentifié d’usurper l’identité d’un utilisateur légitime.
• Impact : L’attaquant peut effectuer toutes les opérations auxquelles l’utilisateur usurpé a droit.
• Contexte : Affecte la plateforme d’IA de ServiceNow, y compris potentiellement des fonctionnalités comme Now Assist et Virtual Agent.
• Découverte : Signalée par des chercheurs en sécurité et mise en évidence par une activité notable sur les réseaux sociaux autour de sa découverte et de sa correction.

Vulnérabilités :

• CVE-2025-12420 : Permet l’usurpation d’identité par un utilisateur non authentifié.

Recommandations :

• Les instances hébergées par ServiceNow ont reçu une mise à jour de sécurité en octobre 2025.
• Des mises à jour de sécurité ont également été fournies aux clients qui auto-hébergent ServiceNow, ainsi qu’aux partenaires et aux clients hébergés avec des configurations spécifiques.
• La correction est également disponible dans les versions listées des applications du Store.
• Il est fortement recommandé aux clients d’appliquer rapidement la mise à jour de sécurité appropriée ou de procéder à une mise à niveau s’ils ne l’ont pas encore fait.

Source