Uma falha de alta gravidade na plataforma ServiceNow, identificada como CVE-2025-3648 (CVSS 8.2) e apelidada de Count(er) Strike, pode permitir a exposição e extração de dados por meio de ACLs (listas de controle de acesso) mal configuradas. A vulnerabilidade foi descoberta em fevereiro de 2024 e relatada à ServiceNow. O problema está relacionado ao mecanismo de contagem de registros nas páginas de lista da plataforma. Usuários autenticados ou não autenticados poderiam explorar consultas de intervalo para inferir dados sensíveis, como informações pessoais (PII) e credenciais, mesmo sem privilégios elevados. Bastaria que tivessem acesso a uma tabela mal configurada.
A falha ocorre porque as ACLs da ServiceNow são avaliadas em uma ordem específica: Required Roles, Security Attributes, Data Condition e Script Condition. Diferentes respostas do sistema, dependendo da condição bloqueada, podem ser usadas por atacantes para mapear restrições e enumerar dados. O ataque pode ser potencializado com técnicas como dot-walking e auto-registro de usuários, ampliando o acesso sem aprovação administrativa. Em resposta, a ServiceNow implementou medidas como Query ACLs, Security Data Filters e Deny-Unless ACLs, além de configurar ACLs de intervalo para “negação por padrão”. A empresa recomenda que clientes revisem suas ACLs e apliquem essas proteções imediatamente. Não há evidências de exploração ativa até o momento.
Outras falhas também foram divulgadas recentemente. A CVE-2025-1729 afeta o software TrackPoint Quick Menu da Lenovo e permite escalada de privilégios por meio de DLL hijacking. A vulnerabilidade foi corrigida na versão 1.12.54.0 lançada em julho de 2025. Já a CVE-2025-47978, batizada de NOTLogon, é um bug de leitura fora dos limites no Kerberos (Netlogon) que pode causar negação de serviço e reinício de controladores de domínio. A Microsoft corrigiu o problema em suas atualizações de segurança do Patch Tuesday de julho de 2025.
