Der US-Softwareanbieter Servicenow musste ein Sicherheitsloch in seiner Cloud-Plattform stopfen. Das Unternehmen habe Anfang Monat ein Sicherheitsupdate auf Kundeninstanzen eingespielt, heisst es in einem Eintrag auf der Supportseite von Servicenow.

Das Problem sei durch anomale Aktivitäten bei der Abfrage von Instanztabellen entdeckt worden, so der Hersteller. Es sei nicht authentifizierten Benutzenden unter bestimmten Umständen möglich gewesen, sich einen erweiterten Zugriff auf Servicenow-Instanzen zu verschaffen. Dafür musste allerdings schon die Australia-Plattform im Einsatz sein, die erst Anfang Mai veröffentlicht wurde. Bei älteren Servicenow-Releases seien zusätzliche Konfigurationsänderungen notwendig gewesen, damit ein Sicherheitsrisiko bestand, führt der Anbieter aus.

Über den Eintrag auf der Supportseite hinaus will Servicenow betroffene Kundinnen und Kunden über die Sicherheitsanfälligkeit informiert haben, eine CVE-Kennung hat die Lücke allerdings nicht. Die letzte Warnung der US-Cybersecurity and Infrastructure Security Agency (CISA) zu einem Sicherheitsproblem bei Servicenow datiert aus dem Jahr 2024.