探索

  • 热门
  • 最新
  • AI与智能决策
  • 浏览文章
  • 智能助手
  • 订阅动态

物流领域

  • 海运
  • 空运
  • 陆运
  • 仓储
  • 末端配送

地区

  • 东南亚
  • 南亚
  • 中亚
  • 日韩
  • 中东
  • 欧洲
  • 俄罗斯
  • 非洲
  • 北美
  • 拉美
  • 澳洲
SCI.AI
  • 供应链管理
    • 战略与规划
    • 物流与运输
    • 制造与生产
    • 库存与履约
  • 采购与供应商
    • 战略寻源
    • 供应商管理
    • 供应链金融
  • 科技创新
    • AI与智能决策
    • 机器人与无人化
    • 数字平台与SaaS
  • 风险与韧性
  • 可持续发展
  • 学术研究
  • 专家专栏
  • Chinese
    • Chinese
    • English
No Result
View All Result
  • Login
  • Register
SCI.AI
No Result
View All Result
Home 日韩供应链

ServiceNow API漏洞致物流IT系统遭未授权访问,修复后四日未通报

2026/07/06
in 日韩供应链
0 0
ServiceNow API漏洞致物流IT系统遭未授权访问,修复后四日未通报

据 The Loadstar 报道,全球企业级 IT 服务管理平台 ServiceNow 被曝存在严重未认证 API 安全漏洞,攻击者可在无需任何凭证情况下直接查询并获取企业 IT 工单、员工身份凭证及人力资源数据;该漏洞于 2026 年 3 月初被发现,ServiceNow 完成修补后未主动公告,而是将安全通告置于登录墙之后,导致客户平均延迟 4 天才获知风险。

未认证 API 暴露核心业务数据

原文数据显示,该漏洞存在于 ServiceNow 平台面向 IT 服务管理(ITSM)、人力资源(HR)及供应链工作流的公共 API 接口中。攻击者仅需构造特定 HTTP 请求,即可绕过所有身份验证机制,直接读取包括员工姓名、邮箱、部门、岗位、入职日期在内的完整员工记录;同时可批量导出 IT 支持工单详情、系统配置参数及部分明文存储的访问密钥。

漏洞编号为 SN-CVE-2026-1897(原文未提供 CVE 官方编号,此为 ServiceNow 内部编号),影响范围覆盖 ServiceNow Orlando(2023 年发布)、Paris(2024 年)及 Quebec(2025 年)三大主力版本。据原文报道,截至 2026 年 3 月 7 日,全球使用 ServiceNow 部署供应链协同系统的货代、船公司及第三方物流服务商中,约 63% 仍在运行含该漏洞的旧版 API 网关组件。

静默修复与信息壁垒引发信任危机

ServiceNow 于 2026 年 3 月 3 日完成热补丁部署,但未通过常规安全通告渠道(如邮件通知、状态页面更新或客户门户弹窗)向受影响客户发出警示。相反,其将安全公告全文嵌入需登录企业管理员账户才能访问的“安全资源中心”子页面,且未在首页设置显眼提示。

原文援引一位匿名货运技术主管称:“我们是在第三方威胁情报平台推送告警后才自查发现 API 异常调用日志——而此时漏洞已暴露 72 小时,且内部审计显示至少 3 个外部 IP 地址完成了完整员工数据库抓取。”该主管所在企业使用 ServiceNow 支撑其全球 17 个国家的运输订单履约流程。

物流行业成高危目标

The Loadstar 指出,物流业已成为网络攻击的首要目标领域之一:2026 年前两个月,全球供应链相关网络安全事件同比上升 41%,其中 58% 涉及 SaaS 平台 API 层入侵。ServiceNow 作为马士基(Maersk)、DHL 及 Flexport 等头部企业供应链数字化底座,其 API 接口常与 TMS、WMS 及港口 EDI 系统深度集成,一旦失守,将直接导致运单篡改、舱位欺诈及海关申报数据泄露。

原文列举近期同类事件佐证风险:墨西哥曼萨尼约港(Manzanillo)平台遭黑客攻击致 2.3 万条集装箱进出口数据外泄;德国铁路(Deutsche Bahn)因 DDoS 攻击导致货运调度系统中断 11 小时;另一起针对 FreightWaves 旗下运力匹配平台的 API 劫持事件,造成 1,200+家承运商登录凭证在 Telegram 黑市挂牌出售。

行业响应与合规压力

国际供应链安全联盟(SCSA)于 2026 年 3 月 6 日发布紧急指引,要求成员企业立即核查 ServiceNow 实例中 API 网关的启用状态、访问日志留存周期及第三方集成授权范围。指引明确要求:所有与物流执行强相关的 API 必须启用双向 TLS 认证,且日志保留期不得少于 90 天。

欧盟《网络弹性法案》(Cyber Resilience Act)将于 2026 年 10 月 1 日起对关键数字基础设施供应商实施强制审计,ServiceNow 已被列入首批评估清单。原文援引布鲁塞尔合规顾问 Will O’Donnell 表示:“当 SaaS 厂商把安全通告藏在登录墙后,本质上是将风险转嫁给客户——这已构成对 ISO/IEC 27001 第 9.1.2 条‘信息安全事件沟通’条款的实质性违反。”

来源:The Loadstar

本文编译自海外媒体报道,由 SCI.AI 编辑团队整理发布。

ShareTweet

Related Posts

苹果拟引入长江存储与长鑫存储,SK海力士单日暴跌15%
日韩供应链

苹果拟引入长江存储与长鑫存储,SK海力士单日暴跌15%

5 7 月, 2026
6
CMA CGM 以 14 亿美元收购联邦快递供应链,北美合同物流规模近翻三倍
日韩供应链

CMA CGM 以 14 亿美元收购联邦快递供应链,北美合同物流规模近翻三倍

2 7 月, 2026
6
印度汽车供应链AI渗透加速,MSME预测性维护降本30%以上
日韩供应链

印度汽车供应链AI渗透加速,MSME预测性维护降本30%以上

1 7 月, 2026
8
UPS 投资 4,800 万美元扩建全球医药冷链网络
日韩供应链

UPS 投资 4,800 万美元扩建全球医药冷链网络

29 6 月, 2026
13
Claire’s 在伊利诺伊州启用 24.8 万平方英尺新仓,强化库存可视性与履约速度
日韩供应链

Claire’s 在伊利诺伊州启用 24.8 万平方英尺新仓,强化库存可视性与履约速度

26 6 月, 2026
18
美国能源部拨款17.5亿美元,前置采购压缩核电建设周期
日韩供应链

美国能源部拨款17.5亿美元,前置采购压缩核电建设周期

24 6 月, 2026
14

发表回复 取消回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

Recommended

企业级区块链落地跨境B2B,文件处理时效压缩至2小时

企业级区块链落地跨境B2B,文件处理时效压缩至2小时

13 Views
25 5 月, 2026
私密:vip 会员权益

大众汽车在德克萨斯州开设港口设施:提升供应链效率的新一步骤

13 Views
16 10 月, 2024
UpGuard获评G2 2026第三方与供应商风险管控领域全球第一

UpGuard获评G2 2026第三方与供应商风险管控领域全球第一

14 Views
15 4 月, 2026
中国港口浓雾致船舶平均延误3-7天 — The Loadstar

中国港口浓雾致船舶平均延误3-7天 — The Loadstar

70 Views
3 6 月, 2026
Show More

SCI.AI

Global Supply Chain Intelligence. Delivering real-time news, analysis, and insights for supply chain professionals worldwide.

Categories

  • Supply Chain Management
  • Procurement
  • Technology

 

  • Risk & Resilience
  • Sustainability
  • Research

© 2026 SCI.AI. All rights reserved.

Powered by SCI.AI Intelligence Platform

Welcome Back!

Sign In with Facebook
Sign In with Google
Sign In with Linked In
OR

Login to your account below

Forgotten Password? Sign Up

Create New Account!

Sign Up with Facebook
Sign Up with Google
Sign Up with Linked In
OR

Fill the forms below to register

All fields are required. Log In

Retrieve your password

Please enter your username or email address to reset your password.

Log In

微信扫码分享

打开微信,扫描二维码分享给好友

QR Code

Add New Playlist

No Result
View All Result
  • 供应链管理
    • 战略与规划
    • 物流与运输
    • 制造与生产
    • 库存与履约
  • 采购与供应商
    • 战略寻源
    • 供应商管理
    • 供应链金融
  • 科技创新
    • AI与智能决策
    • 机器人与无人化
    • 数字平台与SaaS
  • 风险与韧性
  • 可持续发展
  • 学术研究
  • 专家专栏
  • Chinese
    • Chinese
    • English
  • Login
  • Sign Up

© 2026 SCI.AI