ServiceNow高危漏洞Count(er) Strike：CVE-2025-3648

ServiceNow 是一家总部位于美国加利佛尼亚的美国软件公司，该公司致力于开发云计算平台，帮助公司管理企业运营中的数字工作流程。

ServiceNow Platform 平台为企业提供了行动系统，智能自动化引擎将机器学习与自动化操作相结合，显著降低成本并加快解决问题速度。

一、基本情况

ServiceNow作为一个强大IT服务管理（ITSM）平台，经常与各种后端系统和服务进行集成，有多种方式可以实现与服务器的连接和通信。

ServiceNow latform通过优化流程来赋能，连接孤岛以获得无缝体验，通过支持创新创造新价值，通过单一、统一数字业务平台进行转型。

栋科技漏洞库关注到云服务平台ServiceNow中的一个漏洞，允许低权限用户窃取敏感数据，漏洞被追踪CVE-2025-3648，CVSS评分8.2。

二、漏洞分析

CVE-2025-3648是ServiceNow平台存在的高危漏洞（代号Count(er) Strike），该漏洞由Varonis威胁实验室发现，可能导致敏感信息泄露。

在某些条件访问控制列表（ACL）配置下，该漏洞可能使未经身份验证和经过身份验证的用户可使用范围查询请求来推断未授权实例数据。

具体来说，漏洞允许低权限用户突破访问控制列表（ACL）限制，通过记录计数枚举技术窃取敏感数据，推断他们不打算访问的实例数据。

该漏洞的存在，源于ServiceNow的访问控制机制存在设计缺陷而导致的，当资源设置多个ACL时，系统采用"满足任一即放行"的判定逻辑。

由于平台控制列表（ACL）执行流程的权限校验不彻底，攻击者即使没有通过数据条件或脚本条件进行验证，仍可获取记录数量等元数据。

这里需要明确的，虽然单个控制列表（ACL）包含角色验证、安全属性等四重防护，但受影响版本的系统未对多个ACL实施"全满足"校验。

这导致攻击者利用该漏洞，通过界面返回的记录计数和HTML源码残留信息，结合范围查询运算符实现数据重构，最终突破最小权限原则。

Varonis的研究人员通过操纵STARTSWITH等URL过滤器参数，结合自动化脚本实现了逐字符爆破，成功的从受限表中提取完整数据记录。

由于ServiceNow平台用户广泛，因此影响包括政府机构、金融机构在内的全球企业客户，可能造成凭证、个人身份信息等核心数据泄露。

为了帮助客户加强访问控制，ServiceNow在Xanadu和Yokohama引入额外访问控制框架，如查询ACL、安全数据过滤器和拒绝-除非ACL。

具体细分为三个安全修复措施：强制实施"全ACL通过"的Deny Unless机制、限制枚举查询的Query ACLs、隐藏行计数安全的数据过滤器。

不过企业仍需手动检查现有ACL配置，避免过度授权，此外ServiceNow在2025年5月向客户提供了一个旨在增强客户ACL配置的安全更新。

三、影响范围

ServiceNow Now Platform  Aspen

四、修复建议

更新当前系统或软件至最新版，完成漏洞的修复

五、参考链接

管理员已设置登录后刷新可查看