Incomplete Input Validation in GlideExpression Script

ServiceNow no valida correctamente las entradas de usuario en el motor de scripts GlideExpression, permitiendo que atacantes sin autenticación ejecuten código arbitrario en la plataforma. Esto es crítico porque expone toda la infraestructura de Now Platform al compromiso remoto.

La validación incompleta de entrada (CWE-184) en GlideExpression permite ejecución remota de código sin autenticación mediante entrada de script insuficientemente sanitizada. La vulnerabilidad afecta versiones Washington DC, Vancouver y anteriores; la explotación ocurre cuando entrada no confiable alcanza el contexto de ejecución del script sin validación suficiente, resultando en ejecución de código arbitrario con privilegios de plataforma.