Le géant du cloud computing **ServiceNow** a confirmé un incident de sécurité impliquant une vulnérabilité exploitée qui a accordé un accès non autorisé aux instances clients. L'entreprise a déployé une mise à jour de sécurité urgente le 5 juin 2026 pour corriger la faille. "La mise à jour concernait un problème de sécurité qui pouvait permettre à un utilisateur non authentifié, dans certaines circonstances, d'obtenir un accès plus important aux instances ServiceNow que prévu", a déclaré **ServiceNow** dans un avis, qui nécessite un accès client pour les détails complets.  ### Les détails de la vulnérabilité émergent La vulnérabilité, qui manque actuellement d'un identifiant **CVE**, a d'abord attiré l'attention du public via une discussion sur **Reddit**. La mise à jour de sécurité a modifié la configuration d'un point de terminaison pour restreindre cet accès élevé aux utilisateurs authentifiés uniquement. **ServiceNow** a signalé avoir détecté une activité anormale liée au problème, observant des requêtes réussies de tables d'instances contre un "sous-ensemble de clients". Les clients concernés ont été directement informés. ### Instances ciblées et connaissance préalable Selon **ServiceNow**, le problème de sécurité a principalement affecté les clients sur la "plateforme de sortie Australie" ou ceux qui avaient apporté des modifications de configuration spécifiques aux instances sur des versions antérieures. De manière intrigante, un utilisateur **Reddit** nommé "d3s7iny" a affirmé que son équipe de sécurité avait signalé la vulnérabilité à **ServiceNow**, alléguant que l'entreprise était au courant du problème depuis le 7 avril 2026. Pendant environ deux mois, le problème aurait été classé comme non urgent, la remédiation étant prévue pour une future mise à jour. ### Exploitation confirmée et soumissions de bug bounty **ServiceNow** a depuis reconnu publiquement l'incident, confirmant qu'"un sous-ensemble d'instances clients a été interrogé avec succès dans le cadre de cette activité". L'activité malveillante aurait débuté le 2 juin 2026. L'avis de l'entreprise notait en outre : "Les 3 et 4 juin 2026, des clients ont partagé des soumissions à leurs programmes de bug bounty concernant un problème de sécurité qui pouvait, dans certaines circonstances, permettre à un utilisateur non authentifié d'obtenir un accès indésirable à des informations dans les instances **ServiceNow**. Ces soumissions étaient similaires à une soumission confidentielle envoyée à notre programme de bug bounty le 22 avril 2026." Un porte-parole de **ServiceNow** a souligné que leur "priorité principale était de contacter directement le sous-ensemble de clients affectés par cet [incident], il n'était pas généralisé."