ServiceNow Incomplete List of Disallowed Inputs Vulnerability — ServiceNow Washington DC, Vancouver, and earlier Now Platform releases contain an incomplete list of disallowed inputs vulnerability in the GlideExpression script. An unauthenticated user could exploit this vulnerability to execute code remotely.
ServiceNow platform versions up to Vancouver contain an incomplete input validation vulnerability in GlideExpression that allows unauthenticated remote code execution. This critical flaw affects multiple ServiceNow releases and poses severe risk to organizations using vulnerable versions.
تحتوي ثغرة ServiceNow على قائمة غير كاملة من المدخلات المحظورة في سكريبت GlideExpression. يمكن لمستخدم غير مصرح بالوصول استغلال هذه الثغرة لتنفيذ أكواد برمجية بعيدة على الخادم. تؤثر الثغرة على إصدارات Washington DC وVancouver والإصدارات السابقة من منصة ServiceNow.
منصة ServiceNow تحتوي على ثغرة في التحقق من صحة المدخلات في GlideExpression تسمح بتنفيذ الأكواد البعيدة من قبل مستخدمين غير مصرحين. تؤثر هذه الثغرة الحرجة على إصدارات متعددة من ServiceNow وتشكل خطراً شديداً على المنظمات.
Immediately upgrade ServiceNow to Vancouver patch level or later. Apply security patches provided by ServiceNow. Implement network segmentation to restrict access to ServiceNow instances. Monitor GlideExpression execution logs for suspicious activity. Disable GlideExpression functionality if not required.
قم بالترقية الفورية إلى إصدار Vancouver أو أحدث. طبق التصحيحات الأمنية من ServiceNow. قم بتطبيق تقسيم الشبكة لتقييد الوصول إلى مثيلات ServiceNow. راقب سجلات تنفيذ GlideExpression للنشاط المريب. عطل وظيفة GlideExpression إذا لم تكن مطلوبة.