أبلغت ServiceNow عدداً من عملائها بحادث أمني مرتبط بثغرة في نقطة نهاية ضمن واجهة API، أتاحت في ظروف محددة لمستخدم غير موثق الوصول إلى بيانات من مثيلات العملاء والاستعلام عنها.
وبحسب ما نشره موقع BleepingComputer يوم الثلاثاء 9 يونيو 2026، رصدت الشركة نشاطاً غير معتاد مرتبطاً بالمشكلة، ثم أرسلت تنبيهات عبر نشرة دعم وحالات دعم مباشرة للعملاء المتأثرين. وذكرت النشرة، المحجوبة خلف بوابة دعم العملاء، أن ServiceNow طبقت تحديثاً أمنياً على مثيلات العملاء المستضافة يوم الجمعة 5 يونيو 2026.
وقالت الشركة في إشعارها إن التحديث عالج مشكلة أمنية كان يمكن أن تسمح لمستخدم غير مصرح له، في ظروف معينة، بالحصول على وصول أوسع من المقصود إلى مثيلات ServiceNow. وغيّر التحديث إعدادات نقطة نهاية API بحيث يقتصر الوصول إليها على المستخدمين الموثقين فقط.
وأكدت ServiceNow أن مهاجمين استغلوا الخلل للاستعلام بنجاح عن جداول في مثيلات العملاء. ولم تفصح الشركة عن طبيعة البيانات التي تم الوصول إليها، غير أن مثيلات ServiceNow قد تحتوي عادة على بيانات مؤسسية حساسة، مثل تذاكر دعم تقنية المعلومات، وسجلات الموظفين، والوثائق الداخلية، وقوائم الأصول، وتقارير الحوادث الأمنية، وبيانات سير العمل، وتفاصيل إعدادات الأنظمة والخدمات.
وتشير المعلومات المتاحة إلى أن الشركة فتحت حالات دعم مع العملاء المتأثرين. أما العملاء الذين لم يتلقوا حالة دعم مرتبطة بالحادث، فلا تعتقد ServiceNow أنهم ضمن نطاق التأثر، وفق ما ورد في النشرة.
ولم تنشر ServiceNow حتى الآن تفاصيل تقنية عامة عن الخلل. وأشار مسؤولو أنظمة ناقشوا الحادث إلى أن المشكلة قد تكون مرتبطة بنقطة نهاية REST تحمل المسار /api/now/related_list_edit/create، مع حديث غير مؤكد عن إعداد كان يسمح بالوصول دون مصادقة. كما جرى تداول مؤشر اختراق محتمل يتمثل في طلبات API صادرة من عنوان IP هو 51.159.98.241.
وتقول النشرة إن المشكلة تؤثر بصورة رئيسية في العملاء الذين يستخدمون إصدار Australia من منصة ServiceNow، أو العملاء على إصدارات أقدم أجروا تغييرات معينة في إعدادات المثيلات. ولا تزال الشركة تقيّم ما إذا كانت ستنشر معرف CVE للثغرة.
وتنصح المعلومات المنشورة مسؤولي الأنظمة بمراجعة سجلات ServiceNow بحثاً عن طلبات إلى مسار /api/now/related_list_edit، ولا سيما الطلبات المرتبطة بعنوان IP المذكور. كما ينبغي للجهات المتأثرة مراجعة التذاكر والسجلات التي ربما انكشفت، وتدوير بيانات الاعتماد أو رموز API التي قد تكون وردت في مسارات الدعم، والتأكد من تفعيل تسجيل أنشطة واجهات API.
