北京赛克艾威科技有限公司 2024-07-11
ServiceNow 是一个商业的软件平台,专注于企业的数字化工作流和IT服务管理(ITSM)。ServiceNow Glide 是 ServiceNow 平台中的一组API和工具,用于在服务门户中创建服务请求和脚本。 受影响版本中,由于 GlideExpressionScript 类未对用户可控的代码有效过滤,未经授权的远程攻击者可在向 /login.do 接口传入包含恶意表达式的jvar\_page\_title参数远程执行任意代码。
1. 将组件 servicenow 升级至 Vancouver Patch 8 Hot Fix 4 及以上版本 2. 将组件 servicenow 升级至 Vancouver Patch 10 及以上版本 3. 将组件 servicenow 升级至 Washington DC Patch 2 Hot Fix 2 及以上版本 4. 将组件 servicenow 升级至 Washington DC Patch 4 及以上版本 5. 将组件 servicenow 升级至 Utah Patch 10a Hot Fix 2 及以上版本 6. 将组件 servicenow 升级至 Utah Patch 10b Hot Fix 1 及以上版本 7. 将组件 servicenow 升级至 Vancouver Patch 6 Hot Fix 2 及以上版本 8. 将组件 servicenow 升级至 Vancouver Patch 7 Hot Fix 3b 及以上版本 9. 将组件 servicenow 升级至 Washington DC Patch 5 及以上版本 10. 将组件 servicenow 升级至 Vancouver Patch 9 Hot Fix 1 及以上版本 11. 将组件 servicenow 升级至 Washington DC Patch 1 Hot Fix 3b 及以上版本 12. 将组件 servicenow 升级至 Washington DC Patch 3 Hot Fix 2 及以上版本
https://www.oscs1024.com/hd/MPS-w13c-hs6j
https://nvd.nist.gov/vuln/detail/CVE-2024-5217
https://www.assetnote.io/resources/research/chaining-three-bugs-to-access-all-your-servicenow-data
https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1648313