A ServiceNow lançou uma atualização de segurança para corrigir uma falha crítica em sua plataforma de inteligência artificial que poderia permitir que um invasor assumisse a identidade de outros usuários sem necessidade de autenticação. A vulnerabilidade, apelidada de BodySnatcher, representava um sério risco de comprometimento de contas e ações privilegiadas dentro da plataforma.
A falha afetava diretamente a maneira como a plataforma lidava com chamadas de API em contextos de execução da IA. Em cenários normais, a IA da ServiceNow realiza ações em nome de um usuário com base em permissões legítimas. No entanto, devido à vulnerabilidade, era possível injetar comandos que falsificavam a identidade de qualquer usuário, inclusive administradores, permitindo acesso a dados sensíveis ou execução de tarefas críticas.
O problema foi descoberto por um pesquisador de segurança que demonstrou como era possível explorar endpoints internos, inclusive aqueles utilizados por interfaces de chatbot e automações de fluxo de trabalho. Ao manipular os cabeçalhos HTTP e omitir a autenticação esperada, um invasor conseguia forjar comandos como se fossem emitidos por outro usuário, sem deixar rastros evidentes.
A ServiceNow respondeu rapidamente à divulgação responsável e disponibilizou correções para todas as versões afetadas. A empresa ressaltou que não há evidências de exploração ativa da falha, mas recomendou que todos os clientes apliquem as atualizações de segurança imediatamente para mitigar possíveis riscos futuros.
Além disso, a empresa reforçou que seus sistemas de segurança foram revisados para impedir que vulnerabilidades semelhantes ocorram novamente, especialmente no contexto de automações baseadas em IA, que têm se tornado cada vez mais comuns em ambientes corporativos.
