BodySnatcher (CVE-2025-12420) : usurpation dâidentitĂ© et dĂ©tournement dâagents IA via ServiceNow Virtual Agent/Now Assist
Source: appomni.com â Aaron Costello (AppOmni) publie une analyse technique dĂ©taillĂ©e de « BodySnatcher » (CVE-2025-12420), une vulnĂ©rabilitĂ© critique touchant ServiceNow Virtual Agent API et lâapplication Now Assist AI Agents, permettant Ă un attaquant non authentifiĂ© dâusurper nâimporte quel utilisateur Ă partir de son eâmail, de contourner MFA/SSO et de piloter des workflows dâagents IA avec des privilĂšges Ă©levĂ©s. âą Nature de la faille et impact: La combinaison dâun secret partagĂ© au niveau plateforme et dâune logique dâautoâliaison de comptes basĂ©e uniquement sur lâadresse eâmail a permis Ă un attaquant distant dâusurper lâidentitĂ© de nâimporte quel utilisateur (y compris administrateur) et dâexĂ©cuter des agents IA pour crĂ©er des comptes backdoor et accorder des rĂŽles administrateurs, exposant potentiellement des donnĂ©es sensibles (SSN, santĂ©, finances, PI). Lâauteur qualifie cette faille de plus sĂ©vĂšre vulnĂ©rabilitĂ© IA agentique dĂ©couverte Ă ce jour. ...