TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > 脆弱性: CVE-2025-3648 > ServiceNow Flaw CVE-2025-3648 Could Lead to Data Exposure via Misconfigured ACLs

ServiceNow Flaw CVE-2025-3648 Could Lead to Data Exposure via Misconfigured ACLs

脆弱性: CVE-2025-3648 サービス: ServiceNow

【訳】

ServiceNowの脆弱性 CVE-2025-3648 は、不正に設定されたアクセス制御リスト(ACL)を通じてデータ漏洩を引き起こす可能性があります


【脆弱性内容】

公開日
登録日
CVE番号
NVD
ベンダー
CVSS v3
CWE
脆弱性
KEV
備考
2025/07/08 2025/04/15 CVE-2025-3648 NVD ServiceNow
8.2(ServiceNow)
V4.0
 CWE-1220 アクセス制御の不十分な粒度 - ServiceNow


【図表】




出典: https://thehackernews.com/2025/07/servicenow-flaw-cve-2025-3648-could.html


【要約】

ServiceNowのプラットフォームに、ユーザーが意図しないデータにアクセス可能になる脆弱性(CVE-2025-3648)が発見されました。この問題は誤設定されたACLルールによるもので、特定の条件下でデータ推論攻撃が可能になります。悪用されると、認証されたユーザーや未認証ユーザーによって機密情報が漏洩する恐れがあります。セキュリティ機関は、すべてのServiceNowインスタンスに対し適切な保護措置を推奨しています。


【ニュース】

◆ServiceNow Flaw CVE-2025-3648 Could Lead to Data Exposure via Misconfigured ACLs (The Hacker News, 2025/07/10)
[ServiceNowの脆弱性 CVE-2025-3648 は、不正に設定されたアクセス制御リスト(ACL)を通じてデータ漏洩を引き起こす可能性があります]
https://thehackernews.com/2025/07/servicenow-flaw-cve-2025-3648-could.html

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022