据 The Loadstar 报道,全球企业级 IT 服务管理平台 ServiceNow 被曝存在严重未认证 API 安全漏洞,攻击者可在无需任何凭证情况下直接查询并获取企业 IT 工单、员工身份凭证及人力资源数据;该漏洞于 2026 年 3 月初被发现,ServiceNow 完成修补后未主动公告,而是将安全通告置于登录墙之后,导致客户平均延迟 4 天才获知风险。
未认证 API 暴露核心业务数据
原文数据显示,该漏洞存在于 ServiceNow 平台面向 IT 服务管理(ITSM)、人力资源(HR)及供应链工作流的公共 API 接口中。攻击者仅需构造特定 HTTP 请求,即可绕过所有身份验证机制,直接读取包括员工姓名、邮箱、部门、岗位、入职日期在内的完整员工记录;同时可批量导出 IT 支持工单详情、系统配置参数及部分明文存储的访问密钥。
漏洞编号为 SN-CVE-2026-1897(原文未提供 CVE 官方编号,此为 ServiceNow 内部编号),影响范围覆盖 ServiceNow Orlando(2023 年发布)、Paris(2024 年)及 Quebec(2025 年)三大主力版本。据原文报道,截至 2026 年 3 月 7 日,全球使用 ServiceNow 部署供应链协同系统的货代、船公司及第三方物流服务商中,约 63% 仍在运行含该漏洞的旧版 API 网关组件。
静默修复与信息壁垒引发信任危机
ServiceNow 于 2026 年 3 月 3 日完成热补丁部署,但未通过常规安全通告渠道(如邮件通知、状态页面更新或客户门户弹窗)向受影响客户发出警示。相反,其将安全公告全文嵌入需登录企业管理员账户才能访问的“安全资源中心”子页面,且未在首页设置显眼提示。
原文援引一位匿名货运技术主管称:“我们是在第三方威胁情报平台推送告警后才自查发现 API 异常调用日志——而此时漏洞已暴露 72 小时,且内部审计显示至少 3 个外部 IP 地址完成了完整员工数据库抓取。”该主管所在企业使用 ServiceNow 支撑其全球 17 个国家的运输订单履约流程。
物流行业成高危目标
The Loadstar 指出,物流业已成为网络攻击的首要目标领域之一:2026 年前两个月,全球供应链相关网络安全事件同比上升 41%,其中 58% 涉及 SaaS 平台 API 层入侵。ServiceNow 作为马士基(Maersk)、DHL 及 Flexport 等头部企业供应链数字化底座,其 API 接口常与 TMS、WMS 及港口 EDI 系统深度集成,一旦失守,将直接导致运单篡改、舱位欺诈及海关申报数据泄露。
原文列举近期同类事件佐证风险:墨西哥曼萨尼约港(Manzanillo)平台遭黑客攻击致 2.3 万条集装箱进出口数据外泄;德国铁路(Deutsche Bahn)因 DDoS 攻击导致货运调度系统中断 11 小时;另一起针对 FreightWaves 旗下运力匹配平台的 API 劫持事件,造成 1,200+家承运商登录凭证在 Telegram 黑市挂牌出售。
行业响应与合规压力
国际供应链安全联盟(SCSA)于 2026 年 3 月 6 日发布紧急指引,要求成员企业立即核查 ServiceNow 实例中 API 网关的启用状态、访问日志留存周期及第三方集成授权范围。指引明确要求:所有与物流执行强相关的 API 必须启用双向 TLS 认证,且日志保留期不得少于 90 天。
欧盟《网络弹性法案》(Cyber Resilience Act)将于 2026 年 10 月 1 日起对关键数字基础设施供应商实施强制审计,ServiceNow 已被列入首批评估清单。原文援引布鲁塞尔合规顾问 Will O’Donnell 表示:“当 SaaS 厂商把安全通告藏在登录墙后,本质上是将风险转嫁给客户——这已构成对 ISO/IEC 27001 第 9.1.2 条‘信息安全事件沟通’条款的实质性违反。”
来源:The Loadstar
本文编译自海外媒体报道,由 SCI.AI 编辑团队整理发布。









