ServiceNow waarschuwt voor beveiligingsincident door kwetsbaar API-endpoint

Dit meldt BleepingComputer. Op 5 juni 2026 paste ServiceNow een beveiligingsupdate toe op gehoste klantinstanties. Volgens het bulletin betrof de update een probleem waarbij niet-geauthenticeerde gebruikers onder bepaalde omstandigheden meer toegang konden verkrijgen dan bedoeld. De aanpassing zorgt ervoor dat het API-eindpunt voortaan alleen toegankelijk is voor geauthenticeerde gebruikers.

Lek misbruikt

ServiceNow meldt nu dat aanvallers de kwetsbaarheid daadwerkelijk hebben benut om gegevens uit klantinstances op te vragen. Hoewel niet is meegedeeld welke gegevens zijn benaderd, bevatten dergelijke instanties vaak gevoelige informatie, zoals IT-ondersteuningstickets, personeelsgegevens, interne documentatie en beveiligingsincidentrapporten. Ondersteuningstickets zijn een aantrekkelijk doelwit voor cybercriminelen, omdat deze vaak inloggegevens, API-tokens en andere vertrouwelijke informatie bevatten.

Het incident raakt met name klanten die de Australia-platformrelease gebruiken of klanten op oudere versies die specifieke configuratiewijzigingen hebben doorgevoerd. Beheerders die het probleem op Reddit bespreken, wijzen op een REST-endpoint op '/api/now/related_list_edit/create' als mogelijke oorzaak. Dit eindpunt zou zijn geconfigureerd met 'requires_authentication=false', wat onbeveiligde toegang mogelijk maakte. De update van 5 juni zou deze instelling hebben gewijzigd in 'true'.

ServiceNow onderzoekt nog of er een CVE voor deze kwetsbaarheid wordt gepubliceerd. Beheerders wordt aangeraden om logs te controleren op verzoeken naar het kwetsbare eindpunt, met name vanaf het IP-adres 51.159.98.241. Getroffen organisaties dienen blootgestelde tickets en records te controleren op gevoelige informatie, gedeelde referenties te rouleren en ervoor te zorgen dat API-logboekregistratie is ingeschakeld.