【CVE-2024-4879】ServiceNow 中的 Jelly 模板注入漏洞

文章预览

声明： 文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。 博客新域名： https://gugesay.com 不想错过任何消息？设置星标 ↓ ↓ ↓ 前言 ServiceNow 是一个广泛使用的业务转型平台，最近披露了三个严重的安全漏洞，可能会给全球组织带来严重后果。 三个漏洞分别为 CVE-2024-4879、CVE-2024-5217 和 CVE-2024-5178，影响 Now 平台的各个版本。 这些漏洞中最令人担忧的是 CVE-2024-4879 和 CVE-2024-5217，两者的 CVSSv4 评分分别为 9.3 和 9.2。 这些漏洞可使未经身份验证的远程攻击者能够在 Now 平台内执行任意代码，可能导致系统完全受损、数据被盗以及关键业务运营中断。 CVE-2024-5178 漏洞，CVSSv4评分为 4.0，允许管理用户未经授权访问 Web 应用程序服务器上的 ………………………………