sistema: OPERATIVO
← volver a todos los hacks
INFRASTRUCTURE CRITICAL NEW

ServiceNow AI Platform: un escape de sandbox permite ejecución de código sin autenticación

El 13 de julio de 2026, ServiceNow parcheó un escape de sandbox crítico en su plataforma de IA que permite a un atacante no autenticado ejecutar código en las instancias vulnerables. Un recordatorio: el sandbox que rodea una función de IA es una frontera de seguridad; trátelo como tal.

2026-07-16 // 5 min affects: servicenow-ai-platform, servicenow-self-hosted, llm-platforms

¿Qué es esto?

El 13 de julio de 2026, ServiceNow publicó un aviso de seguridad (KB3137947) sobre una vulnerabilidad crítica en su plataforma de IA, la capa que ejecuta las funciones asistidas por IA y el código que estas generan o lanzan dentro de los entornos de ServiceNow. La falla se describe como un escape de sandbox: bajo ciertas condiciones, un atacante puede salir del entorno de ejecución restringido en el que se apoya la plataforma y ejecutar código directamente sobre la instancia. Lo que la hace grave es que la explotación, según ServiceNow, no requiere autenticación, y afecta tanto a los despliegues alojados por ServiceNow como a los autoalojados.

ServiceNow afirma que ya parcheó sus instancias alojadas y entregó correcciones a los clientes autoalojados y a los socios, y que no tiene constancia de explotación activa a la fecha del aviso. La compañía mantuvo deliberadamente los detalles técnicos fuera del aviso para dar tiempo a los clientes a parchear antes de que se desarrolle un exploit fiable, una postura de divulgación responsable habitual para una falla crítica aún no explotada.

Cómo funciona

ServiceNow no ha publicado la causa técnica subyacente, por lo que lo siguiente describe la clase de vulnerabilidad, no un exploit funcional. Las plataformas de IA ejecutan de forma rutinaria contenido no confiable o generado por el modelo —expresiones, scripts, llamadas a herramientas— dentro de un sandbox destinado a limitar lo que ese código puede alcanzar. Un escape de sandbox es cualquier fallo que permite que el código situado dentro de esa frontera salga de ella: una restricción ausente en una superficie de API, un objeto accesible desde el sandbox que expone funcionalidad privilegiada, o una ruta de análisis o evaluación que ejecuta entrada controlada por el atacante con más autoridad de la prevista.

El punto estructural importante reside en la combinación de dos propiedades. Primero, la superficie vulnerable es accesible sin credenciales, lo que convierte «un usuario autenticado podría comportarse mal» en «cualquiera con acceso de red a la instancia puede hacerlo». Segundo, un escape exitoso coloca al atacante en el contexto de ejecución de la propia plataforma, donde —en un sistema usado para la gestión de servicios de TI, la automatización de flujos de trabajo y las operaciones de seguridad— podría interrumpir procesos, leer o modificar registros, o pivotar hacia otros sistemas alcanzables desde la instancia.

Por qué importa

Las empresas hacen circular mucho proceso sensible por ServiceNow, y las instancias suelen estar expuestas a redes amplias por diseño. Una primitiva de ejecución de código sin autenticación contra este tipo de plataforma roza el peor de los casos: sin phishing, sin token robado, solo acceso de red a una instancia sin parchear. La ausencia de explotación observada es un consuelo escaso, porque la divulgación pública de una falla crítica no autenticada tiende a acelerar la ingeniería inversa; la ventana entre «el parche está disponible» y «el exploit existe» suele ser corta.

En un plano más amplio, este es el patrón que conviene interiorizar a medida que las funciones de IA se difunden en las plataformas empresariales: cada nueva capacidad de «deja que la IA ejecute esto» incorpora un nuevo sandbox de ejecución, y ese sandbox pasa a formar parte de su superficie de ataque. La seguridad de la función solo vale lo que vale la frontera que la rodea, y esas fronteras son recientes, complejas y están mucho menos probadas que las plataformas sobre las que se injertan.

Defensas

La acción inmediata concreta es parchear, pero las lecciones duraderas son arquitectónicas.

  • Aplique el parche por familia de versión. ServiceNow abordó la falla en sus trenes soportados; para las instancias autoalojadas, instale el parche de su familia (el aviso enumera las versiones corregidas, incluidos los niveles recientes de Zurich y Yokohama) en lugar de suponer que las correcciones del lado alojado le cubren.
  • Confirme el estado alojado o autoalojado. Los clientes alojados deben verificar que la actualización se aplicó; los administradores autoalojados controlan su propio calendario de parcheo y deben tratarlo como urgente, incluso sin señales de actividad.
  • Reduzca la exposición de red. Las fallas no autenticadas son mucho menos peligrosas cuando la instancia no es ampliamente accesible. Coloque ServiceNow tras restricciones de red (VPN, listas de IP permitidas, WAF) para que «acceso de red» no equivalga a «Internet».
  • Trate los sandboxes de ejecución de IA como fronteras de confianza, no como comodidades. Toda plataforma que ejecute código generado por un modelo o proporcionado por el usuario debe suponer que el sandbox acabará siendo vulnerado: minimice lo que puede alcanzar, deniegue la red saliente por defecto y limite las credenciales de la plataforma al mínimo privilegio.
  • Vigile el abuso posterior al parche. Observe la actividad administrativa, las integraciones inesperadas, los cambios inusuales de flujos de trabajo o registros, y los comportamientos anómalos de la API: las señales que produciría un escape exitoso, aun cuando el punto de entrada ya esté cerrado.

Status

ElementoValor
ProductoServiceNow AI Platform (alojado y autoalojado)
NaturalezaEscape de sandbox → ejecución de código sin autenticación
Divulgación13 de julio de 2026 (aviso KB3137947)
ReferenciaCVE-2026-6875
Corregido enBrazil EA/GA; Australia Patch 2; Zurich Patch 7b/9; Yokohama Patch 12 HF1b/Patch 13
ExplotaciónNinguna conocida a la fecha de divulgación
Autenticación requeridaNo

Fechas clave: 13 de julio de 2026 — aviso y parche de ServiceNow; 14 de julio de 2026 — cobertura de prensa. ServiceNow no publicó el detalle de la causa raíz, coherente con una divulgación responsable previa a la explotación.

Sources