Registrada como CVE-2026-0542, esta vulnerabilidad permite a un atacante no autenticado burlar el entorno seguro (“sandbox”) y tomar el control total del sistema. Las empresas deben revisar qué versión (Zurich, Yokohama o Xanadu) tienen instalada de inmediato.
La adopción corporativa de plataformas de Inteligencia Artificial avanza a pasos agigantados, pero también lo hacen las vías de ataque que estas nuevas tecnologías exponen. Hoy 26 de febrero de 2026, la corrección de una vulnerabilidad crítica que amenazaba el núcleo de la plataforma de IA de ServiceNow.
El fallo, catalogado bajo el identificador CVE-2026-0542, ha recibido una aterradora puntuación CVSS de 9.8 sobre 10, situándolo en la categoría de riesgo máximo.
La Anatomía del Peligro: RCE Sin Autenticación
La pesadilla de cualquier administrador de sistemas es un fallo que no requiere credenciales para ser explotado, y este cumple con ese oscuro requisito.
- El Objetivo: La vulnerabilidad reside dentro del entorno sandbox (caja de arena) de la plataforma de IA de ServiceNow. Este entorno está diseñado específicamente para aislar y ejecutar código que no es de confianza de forma segura.
- El Exploit: Bajo condiciones específicas, un atacante remoto a través de la red (típicamente mediante HTTPS) puede engañar al sistema para evadir las restricciones de este aislamiento.
- El Resultado: Una Ejecución Remota de Código (RCE). El cibercriminal logra ejecutar comandos maliciosos arbitrarios en el servidor subyacente sin necesidad de usuario o contraseña, allanando el camino para el compromiso total de la instancia, robo masivo de datos o manipulación de flujos de trabajo automatizados.
Mitigación y Estado de Parcheo
ServiceNow ha mantenido los detalles técnicos específicos en secreto para evitar que los actores de amenazas armen un exploit funcional de manera inmediata. Afortunadamente, en su aviso de seguridad (KB2693566), la empresa confirmó que no se ha detectado explotación activa (In the wild) contra instancias de clientes hasta la fecha.
La compañía actuó de forma proactiva desplegando silenciosamente una actualización de seguridad para los clientes de la nube alojada el pasado 6 de enero de 2026. Sin embargo, la responsabilidad ahora recae en los clientes que auto-alojan la plataforma (Self-Hosted) o trabajan con partners.
Tabla de Versiones Seguras (Parches de febrero 2026): Las organizaciones deben asegurarse de estar ejecutando al menos una de las siguientes versiones (o posteriores):
- Rama Zurich: Patch 4 Hotfix 3b / Patch 5.
- Rama Yokohama: Patch 10 Hotfix 1b / Patch 12.
- Rama Xanadu: Patch 11 Hotfix 1a.
- (Nota: Para la versión “Australia”, el parche está pendiente y se espera para el segundo trimestre de 2026).
