ServiceNow AI平臺爆漏洞，允許攻擊者冒用帳號並劫持AI代理流程

漏洞詳情

資安業者AppOmni指出，ServiceNow的Virtual Agent API與Now Assist AI Agents應用程式存在重大漏洞CVE-2025-12420，研究人員將其命名為BodySnatcher，該漏洞CVSS為9.3分，屬於重大（Critical）等級。

該漏洞的成因在於Virtual Agent API的外部整合模式，也就是提供者（Providers）與通道（Channels）的設定以及帳號連結流程。不少企業會把Virtual Agent整合到其業務流程中，導致此漏洞被惡意利用。

攻擊者只要取得共用的電子郵件地址與共享憑證，即可冒用任意帳號身份，並無需進行身份驗證，進而觸發Now Assist AI代理執行平臺內部操作，甚至可能創建具有管理權限的虛假代理。

由於攻擊者可繞過多因素驗證（MFA）與單點登入（SSO）機制，此漏洞極具危險性，可能導致企業內部流程被劫持，並執行未授權的管理操作。

ServiceNow於漏洞通報後一週內完成修補，並發布更新以防止未授權的帳號冒用。相關資安業者也強調，此漏洞的嚴重性已引發業界廣泛關注。