HackerNews 编译,转载请注明出处:
网络安全研究人员发现Salesforce行业云(Salesforce Industries)存在20多项配置相关风险,可能导致敏感数据被未授权的内外部人员获取。这些缺陷影响FlexCards、数据映射器、集成程序(IProcs)、数据包、OmniOut及OmniScript会话存储等多个组件。
“Salesforce行业云等低代码平台虽简化了应用构建流程,但若忽视安全则可能付出代价。”AppOmni SaaS安全研究主管Aaron Costello向The Hacker News表示。这些配置疏漏若未修复,将允许攻击者访问加密的员工与客户机密数据、用户交互会话记录、Salesforce及其他系统的凭证,以及核心业务逻辑。
经负责任披露后,Salesforce已修复其中3项缺陷,并为另外2项发布配置指南,其余16项需客户自行修复。已分配CVE编号的漏洞包括:
- CVE-2025-43697(CVSS评分:暂无):若未启用“Extract”和“Turbo Extract数据映射器”的字段级安全检查,将绕过“查看加密数据”权限验证,导致加密字段明文泄露CVE-2025-43698(CVSS评分:暂无):SOQL数据源获取数据时绕过所有字段级安全控制CVE-2025-43699(CVSS评分5.3):FlexCard未强制执行OmniUlCard对象的“必需权限”字段CVE-2025-43700(CVSS评分7.5):FlexCard未验证“查看加密数据”权限,返回经典加密字段的明文值CVE-2025-43701(CVSS评分7.5):FlexCard允许访客用户访问自定义设置值
攻击者可利用这些漏洞绕过安全控制窃取关键信息。AppOmni指出,CVE-2025-43967和CVE-2025-43698已通过新增的“EnforceDMFLSAndDataEncryption”安全设置修复,客户启用后能确保仅具权限用户可查看数据映射器返回的明文。
“对于需遵守HIPAA、GDPR等合规要求的企业,这些漏洞构成实质性监管风险,”该公司警告,“由于安全配置责任在客户方,单点配置失误可能导致数千条记录泄露,且供应商不承担责任。”
Salesforce发言人回应称多数问题“源于客户配置问题”,非应用固有漏洞。“所有问题均已解决,补丁已推送客户,官方文档同步更新。目前未发现相关漏洞在客户环境中的利用证据。”
与此同时,安全研究员Tobia Righi(代号MasterSplinter)披露了未分配CVE编号的SOQL注入漏洞。该零日漏洞存在于所有Salesforce部署的默认Aura控制器中,攻击者通过操控“contentDocumentId”参数注入恶意SOQL语句,可窃取敏感用户数据。结合公开的ID暴力破解脚本(利用Salesforce ID可预测性),攻击者还能获取非公开文档信息。
Salesforce确认:“收到报告后已及时修复该漏洞,未观察到利用迹象。我们感谢Tobia的负责任披露,并持续鼓励通过官方渠道报告安全问题。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
