出典: Security NEXT – https://www.security-next.com/181477
ServiceNow AI Platformにクリティカルな脆弱性が発見、1月以降のアップデートで修正済み
2026年2月、ServiceNowが提供する「ServiceNow AI Platform」に深刻な脆弱性「CVE-2026-0542」が発見されました。認証不要でリモートからコード実行が可能なため、同社は早急に複数のアップデートで修正を行っています。
主要なポイント
- 脆弱性の内容:認証を必要とせず、リモートからサンドボックス環境内で任意のコードを実行可能。
- 脆弱性評価:CVSSv4.0でベーススコア9.2、最高評価の「クリティカル(Critical)」に分類。
- 修正状況:2026年1月12日以降にリリースされた複数のパッチ(Zurich Patch 5、Yokohama Patch 12、Xanadu Patch 11など)で修正済み。
- 悪用の有無:現時点で脆弱性の悪用は確認されていないが、利用者には速やかなアップデート適用が推奨されている。
技術的な詳細や背景情報
今回の脆弱性「CVE-2026-0542」は、ServiceNow AI Platformのサンドボックス環境において、認証なしでリモートから任意のコードを実行できる問題です。サンドボックスとは、システム内で安全にコードを実行するための隔離された環境を指し、通常は外部からの不正な操作を防ぐ役割を持ちます。しかし、この脆弱性により、攻撃者はその隔離を突破し、プラットフォーム上で悪意あるコードを実行できる可能性があります。
CVSS(Common Vulnerability Scoring System)は脆弱性の深刻度を評価する国際標準の指標で、バージョン4.0のスコア9.2は非常に高いリスクを示します。クリティカル評価は、システムの完全な制御奪取や重大な情報漏洩を招く恐れがあることを意味します。
影響や重要性
ServiceNowは多くの企業でITサービス管理やワークフロー自動化に利用されているため、このプラットフォームの脆弱性は広範囲に影響を及ぼす可能性があります。特にAI Platformは高度な自動化や分析を担うため、攻撃者に悪用されると企業の重要データや業務プロセスに深刻な損害を与えかねません。
今回の脆弱性は悪用例が確認されていないものの、迅速なパッチ適用が求められています。未対応の環境では、攻撃者によるリモートコード実行による情報漏洩やシステム乗っ取りのリスクが高まるため、セキュリティ対策の徹底が重要です。
まとめ
ServiceNow AI Platformの「CVE-2026-0542」脆弱性は、認証不要でリモートコード実行が可能な非常に危険な問題でしたが、2026年1月以降にリリースされた複数のアップデートで修正されています。利用者は速やかに最新パッチを適用し、システムの安全性を確保することが必須です。今後もAIプラットフォームを含むITサービスのセキュリティ監視と迅速な対応が求められます。
