ServiceNow meddelade den 5 juni 2026 att bolaget applicerat en säkerhetsuppdatering efter att ha upptäckt ovanlig aktivitet kopplad till ett problem med obehörig åtkomst i vissa kundinstanser.

Enligt supportbulletinen KB3067321, som publicerats i ServiceNows kundportal, kunde en icke autentiserad användare under vissa omständigheter få mer åtkomst till ServiceNow-instanser än avsett. Bolaget uppger också att man sett tecken på lyckade frågor mot instanstabeller för en delmängd kunder, och att dessa kontaktats via direkta supportärenden.

Vad som är känt

ServiceNow har inte offentligt bekräftat exakt vilka data som nåddes eller hur många kunder som berörs. Uppdateringen rullade ut automatiskt till ServiceNows molninstanser den 5 juni. Kunder som kör egna on-premise-installationer behöver applicera patchen manuellt.

Incidenten liknar ett mönster som är välkänt inom SaaS-säkerhet: en felkonfiguration eller brist i åtkomstkontroll öppnar för obehörig läsning av data via API, utan att varken leverantören eller kunden märker det förrän det är för sent.

Varför det är viktigt för företag

ServiceNow används av tusentals organisationer världen över för IT-service management, HR-processer och affärskritiska arbetsflöden. Plattformen innehåller ofta känslig information om anställda, IT-tillgångar, incidenter och interna processer.

En obehörig åtkomst mot dessa data kan ge angripare värdefull information för vidare attacker, social engineering eller kartläggning av en organisations IT-miljö.

Vad du bör göra

Molnkunder påverkas av patchen automatiskt. Om din organisation kör ServiceNow on-premise bör du omgående kontrollera att KB3067321 är applicerad. Granska också åtkomstloggar från perioden innan den 5 juni för att se om något onormalt inträffat mot era instanser.

Kontakta ServiceNows support om ni fått ett öppnat ärende kopplat till incidenten, eller om ni misstänker att er instans kan ha exponerats.