對於許多企業來說,ServiceNow 是管理 IT 流程與客戶服務的核心平台。然而最近發生的一起安全事件提醒我們,即便是在成熟的 SaaS 平台中,API 端點的配置錯誤也可能導致嚴重的數據洩漏。這次的漏洞讓攻擊者在不需要帳號密碼的情況下,就能獲取比預期更高的存取權限。
漏洞的核心問題在於端點配置錯誤
在 Web 應用程式的設計中,端點 Endpoint 指的是伺服器接收請求的特定 URL 路徑。正常情況下,涉及敏感數據的端點必須經過身分驗證 Authentication,也就是系統得先確認你是誰,且擁有合法的權限才能讀取資料。
然而,這次 ServiceNow 的漏洞出在部分端點的配置失效。這導致未經身分驗證的外部使用者 Unauthenticated User,在特定條件下可以繞過安全檢查,直接對系統內的資料表 Table 進行查詢。對於 junior 工程師來說,這就像是一扇本該上鎖的門,因為鎖頭沒裝好,任何人只要知道門的位置,就能直接走進去翻閱公司的機密檔案。
受影響的範圍與實務影響
這次漏洞主要影響使用 Australia 版本平台,或是對舊版本進行過特定配置更改的客戶。由於攻擊者可以對實例資料表進行查詢,這意味著企業儲存在平台上的客戶資料、內部流程記錄或敏感的 IT 資產清單,都有可能被非法獲取。
ServiceNow 表示已經偵測到異常活動,且部分客戶的資料表確實被成功查詢。這類漏洞最危險的地方在於,攻擊者不需要透過複雜的社交工程或竊取員工密碼,只要利用配置漏洞,就能以極低成本獲取大量數據。
修補機制與應對方式
針對此問題,ServiceNow 已於 2026 年 6 月 5 日發布安全更新。修補的核心邏輯是重新定義端點配置,將該路徑的存取權限嚴格限制在已通過身分驗證的使用者範圍內。
從工程實務的角度來看,這次事件凸顯了 零信任 Zero Trust 原則的重要性。系統不應該假設內部端點是安全的,而應該對每一個 API 請求都強制執行身分驗證與權限檢查。
爭議點:漏洞發現與處理的時差
值得關注的是,根據社群 Reddit 的爆料,有安全團隊早在 4 月就向官方回報此問題,但官方最初將其歸類為非緊急事項,原計畫在未來的常規更新中才處理。直到漏洞被實際利用後,才緊急推送補丁。這提醒了開發團隊在評估漏洞嚴重性時,不能僅看技術複雜度,更要衡量該漏洞一旦被利用後,對客戶數據造成的實際影響力。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。