ช่องโหว่ที่สำคัญบนแพลตฟอร์มของ ServiceNow หมายเลข CVE-2025-3648 และถูกเรียกว่า “Count(er) Strike” ซึ่งอาจทำให้ผู้ไม่หวังดีสามารถขโมยข้อมูลที่สำคัญออกไปได้ เช่น ข้อมูลส่วนบุคคล (PII), ข้อมูล Credentials และข้อมูลทางการเงิน

ช่องโหว่ที่มีระดับความรุนแรงสูงนี้ อาศัยการโจมตีจาก UI element ที่แสดง record count บนหน้ารายการต่าง ๆ ผ่านเทคนิค enumeration และ query filters ซึ่งอาจส่งผลกระทบต่อทุก instances ของ ServiceNow โดยมี tables ข้อมูลหลายร้อย tables ที่ตกอยู่ในความเสี่ยง (more…)