ServiceNow ha divulgado una vulnerabilidad crítica de remote code execution (RCE) sin autenticación en ServiceNow AI Platform identificada como CVE-2026-0542. La compañía indica que la ejecución se produce dentro de un sandbox y que ya está corregida en parches y hotfix específicos publicados entre enero y febrero de 2026.
ServiceNow ha publicado un aviso de seguridad en el que reconoce y corrige una vulnerabilidad crítica en ServiceNow AI Platform, registrada como CVE-2026-0542. Según la información divulgada, el fallo permitiría a un atacante remoto lograr remote code execution (RCE) sin necesidad de autenticación previa. Aunque el proveedor matiza que la ejecución se produciría ‘dentro de un sandbox‘, el hecho de que el vector sea remoto y no requiera credenciales eleva de forma notable la prioridad de respuesta en organizaciones que dependen de la plataforma para operaciones de TI, flujos de trabajo empresariales y automatización.
La severidad se ha calificado como Critical, con una puntuación CVSS v4.0 base de 9.2, lo que sitúa el problema en el rango de máxima urgencia. En términos prácticos, este tipo de vulnerabilidades suele obligar a los equipos de seguridad, gobierno de SaaS y operaciones a comprobar con rapidez el estado real de sus instancias: no basta con conocer la ‘release train’ o familia de versión, sino el nivel exacto de patch o hotfix aplicado. En entornos con control de cambios estricto, las actualizaciones de plataformas como ServiceNow pueden estar programadas por ventanas, por lo que el aviso sirve como señal para replanificar y acelerar despliegues cuando el riesgo lo justifica.
El comunicado también indica que, en el momento de la publicación, ServiceNow no tenía constancia de explotación confirmada. Esta afirmación reduce la presión inmediata, pero no elimina el riesgo: la divulgación pública de un CVE suele aumentar el interés de la comunidad atacante, y las organizaciones que se quedan rezagadas en parches pueden convertirse en objetivos oportunistas. En particular, los fallos ‘sin autenticación’ tienden a ser más atractivos porque reducen fricción y permiten intentos a gran escala.
La corrección se ha incorporado a versiones concretas dentro de las ramas Zurich, Yokohama y Xanadu. En concreto, se citan como niveles con fix Zurich Patch 5 y Zurich Patch 4 Hotfix 3b; Yokohama Patch 12 y Yokohama Patch 10 Hotfix 1b; y Xanadu Patch 11 Hotfix 1a. Esas actualizaciones se distribuyeron entre el 12 de enero de 2026 y el 23 de febrero de 2026, por lo que algunas instancias podrían estar ya protegidas si han seguido un ciclo de actualización frecuente.
Para mitigar el riesgo, la recomendación práctica es validar la release train de la instancia y su nivel de patch/hotfix, y planificar la actualización a uno de los niveles corregidos indicados por ServiceNow. En paralelo, conviene reforzar la vigilancia de alertas del proveedor por si cambiara el estado de explotación, y coordinar con equipos de ITSM, SecOps y propietarios de servicio para minimizar interrupciones sin retrasar una corrección que el propio proveedor clasifica como crítica.
Más información
- Security NEXT: https://www.security-next.com/181477?utm_source=openai
La entrada ServiceNow corrige un RCE crítico en AI Platform (CVE-2026-0542) y detalla los parches afectados se publicó primero en Una Al Día.
