🔴 《严重安全漏洞:CVE-2026-6875》

CVSS 评分: 严重(9.5)  状态: Awaiting Analysis  发布时间: 2026-07-13


漏洞简介

CVE-2026-6875 是 ServiceNow 官方披露的一个存在于其 AI 平台(ServiceNow AI platform)中的远程代码执行(Remote Code Execution, RCE)漏洞。该漏洞允许未经身份验证的攻击者在特定条件下,在 ServiceNow 平台上执行任意代码。

ServiceNow 已通过向托管实例(hosted instances)部署安全更新来修复此漏洞。同时,相关安全更新也已提供给 ServiceNow 自托管客户(self-hosted customers)及合作伙伴。此外,该漏洞在以下列出的补丁及家族版本(family releases)中得到了修复,这些版本已向托管和自托管客户及合作伙伴开放。截至目前,官方尚未发现针对 ServiceNow 实例的主动利用行为。

影响范围

根据官方公告,该漏洞影响 ServiceNow AI 平台。具体受影响的版本信息需参考 ServiceNow 官方知识库文章(KB3137947)中列出的补丁及家族版本。建议用户尽快应用相应更新或升级至已修复的版本。

风险分析

  • 攻击向量与复杂度:该漏洞的攻击向量为网络(AV:N),攻击复杂度较高(AC:H),且无需用户交互(UI:N)和权限(PR:N)。攻击者无需认证即可发起攻击。
  • 影响后果:成功利用此漏洞可导致机密性(VC:H)、完整性(VI:H)和可用性(VA:H)的严重损失,影响范围包括受影响的 ServiceNow 实例及其所在环境的安全域(SC:H/SI:H/SA:H)。
  • 潜在风险:由于漏洞允许未认证的远程代码执行,攻击者可能完全控制受影响的 ServiceNow 实例,进而窃取敏感数据、篡改系统配置、中断服务,或以此为跳板攻击内部网络。尽管目前未发现实际利用案例,但鉴于其严重性,建议用户立即采取修复措施。

🔍 技术细节

字段
CVE ID CVE-2026-6875
CVSS 评分 9.5 🔴
严重程度 严重
CVSS 向量 CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
发布时间 2026-07-13
最后更新 2026-07-13
状态 Awaiting Analysis
数据来源 psirt@servicenow.com

🔗 参考链接