间隙情况 sex5

■ 间隙配景

ServiceNow是一家提供企业级云处事的软件公司，提供企业料理和自动化处事的云表平台。ServiceNow平台主要针对IT处事料理（ITSM）、IT运营料理（ITOM）、和IT业务料理（ITBM）等方面，旨在匡助企业更高效地料理、运营和提供处事，从而栽种合座的业务运营恶果。近日，ServiceNow IT处事料理平台中发现了三个关键间隙，表露了包括政府机构、数据中心、动力供应商和软件开发公司在内的105多个企业的明锐信息，这些间隙（CVE-2024-4879、CVE-2024-5217和CVE-2024-5178）正在被积极应用，抨击者大略绕过身份考证、探问大肆数据并栽种权限，从而辛勤推论代码和窃取数据。

■ 间隙细目

ServiceNow的Jelly模板和Glide抒发式由于未对输入的数据进行过滤，未过程身份考证的坏心抨击者通过构造非凡肯求，在筹办处事器上推论大肆代码。

■ 间隙复现

构造坏心肯求，推论敕令，敕令推论得胜。

■ 影响边界

CVE-2024-4879：ServiceNow Jelly模板注入间隙ServiceNow UI宏中存在Jelly模板注入间隙，未经身份考证的遏制者可应用该间隙注入坏心代码，从而绕过安全适度、窃取明锐信息或导致辛勤推论代码，该间隙的CVSS评分为9.3。CVE-2024-5217：ServiceNow Glide抒发式注入间隙由于 GlideExpressionScript 类中对用户输入过滤不当，未经身份考证的遏制者可通过/login.do接口的jvar_page_title参数传递坏心实质导致辛勤代码推论，该间隙的CVSS评分为9.2。CVE-2024-5178：ServiceNow文献读取信息流露间隙由于SecurelyAccess API 中存在输入考证不完善，可能导致料理用户未经授权探问 Web 应用面孔处事器上的明锐文献，酿成信息流露，该间隙的CVSS评分为6.9。

■ 严重品级

处置步调

1、升级版块

现在该间隙已部分开拓，实时更新补丁或升级到最新版块。

下载集结：

https://support.servicenow.com/now

2、通用淡薄

如期更新系统补丁，减少系统间隙，栽种处事器的安全性。

加强系统和汇集的探问适度，修改防火墙战略，关闭非必要的应用端口或处事，减少将危境处事（如SSH、RDP等）表露到公网，减少抨击面。

使用企业级安全产物，栽种企业的汇集安全性能。

松岛枫av

加强系统用户和权限料理，启用多身分认证机制和最小权限原则，用户和软件权限应保握在最低扫尾。

启用强密码战略并诞生为如期修改。

惩办有筹办

■ ManageEngine卓豪惩办有筹办

1、长入末端料理平台（Endpoint Central）全见地检测安全隐患，通过长入的适度台，对多系统、多末端，风险和间隙、安全失实建设、Web处事器失实建设、高风险软件（报废软件、辛勤桌面分享软件和P2P软件）等进行全面扫描、握续监测、严格评估，和圆善开拓。并长入进行补丁料理、软件分发、IT钞票料理、辛勤故障摒除、数据安全料理、系统装配、勒诈软件保护等来简化您的末端料理。2、特权探问料理平台(PAM360)从中央适度台自动发现、装配、存储和料理正在使用的特权用户、帐户和资源，全面料理处事器、汇集开拓、数据库以及多样应用面孔的密码，实时审计特权探问，实施圭臬密码战略、追踪密码探问历史、适度用户犯警使用，完满企业密码的安全料理和使用。并使用AI和ML入手相等检测功能作念出安全决策。3、数字化长入处事料理平台（ServiceDesk Plus）ServiceDesk Plus在土产货和云表皆可使用，是寻求具有相应投资酬金率的可栽种、安全和可栽种的IT和企业处事料理（ITSM）惩办有筹办的企业的理思聘任。行家向上3/5的寰宇五百强企业在使用ServiceDesk Plus赋能IT处事料理。软件源自匠心，IT更正寰宇用科技让使命与生计更浪漫好意思好卓豪（zoho）于1996年景立sex5，于今已厚实发展28年。寰宇500强企业向上70%皆在使用ManageEngine卓豪产物；28年里坚握以技艺为导向，以惩办用户需求为起点。恒久提供IT前沿技艺为用户创造更大价值。