Los investigadores de ciberseguridad han descubierto más de 20 riesgos relacionados con la configuración que afectan a Salesforce Industry Cloud (también conocido como Industries de Salesforce), exponiendo datos confidenciales a las partes interesadas fraudulentas internas y externas.
Las debilidades afectan una variedad de componentes, como tarjetas flexibles, mapeadores de datos, procedimientos de integración (IPROC), paquetes de datos, omniout y sesiones de retención de omniscript.
«Las plataformas de código bajo, como Salesforce Industry Cloud, facilitan las aplicaciones de construcción, pero los costos de conveniencia cuando la seguridad no se prioriza», dijo el jefe de investigación de seguridad SaaS de Appomni en un comunicado compartido con Hacker News.
Estos conceptos erróneos permiten el acceso no adaptado a datos confidenciales sobre empleados y clientes a cibercriminales y datos confidenciales cifrados no autorizados, lo que permite que los datos de la sesión detallen cómo los usuarios interactúan con las nubes en la industria de Salesforce, Salesforce y otros sistemas corporativos, y cómo la lógica empresarial.
Después de la divulgación responsable, Salesforce abordó tres deficiencias y emitió dos orientación de configuración más. Los 16 conceptos erróneos restantes se dejan al cliente para solucionarlos ellos mismos.
Las vulnerabilidades asignadas a los identificadores CVE se enumeran a continuación –
CVE-2025-43697 (puntuación CVSS: N/A)-Si la «seguridad de nivel de campo» no está habilitada para «extraer» y «Turbo Extract Data Mapper, el permiso de» ver los datos cifrados «no se aplica el permiso. Campos del objeto OmniulCard CVE-2025-43700 (puntuación CVSS: 7.5) que no usan el objeto OmniulCard CVE-2025-43700 (puntuación CVSS: 7.5).
En pocas palabras, los atacantes pueden armarse estos problemas, pasar por alto los controles de seguridad y extraer información confidencial de clientes o empleados.
Según APPOMNI, CVE-2025-43967 y CVE-2025-43698 se están abordando a través de una nueva configuración de seguridad llamada «EndForcedMflsandDataEnction», en la que solo los usuarios que dicen «solo los clientes están» forzados «para asegurar solo a los clientes para garantizar que solo los clientes tengan» Valores «de los valores de las planuras en los campos regresados a los datos de los datos.
«Para las organizaciones que están sujetas a la delegación de cumplimiento, como HIPAA, GDPR, SOX, PCI-DSS y otras organizaciones, estas brechas pueden representar la exposición de las regulaciones reales», dijo la compañía. «Y dado que es responsabilidad del cliente configurar de manera segura estas configuraciones, una configuración perdida puede ser inexistente en la responsabilidad del proveedor y podría conducir a miles de violaciones de registros».
Cuando llegó al comentario, un portavoz de Salesforce le dijo a Hacker News que la mayoría de los problemas se «derivaron de los problemas de configuración del cliente» y que no eran vulnerabilidades inherentes a la aplicación.
«Todos los problemas identificados en este estudio se han resuelto, los parches ahora están disponibles para los clientes y se ha actualizado la documentación oficial para reflejar las capacidades de configuración completas», dijo la compañía. «Como resultado de estos problemas, no se ha observado evidencia de explotación en el entorno del cliente».
Esta divulgación es que la investigadora de seguridad Tobia Righi, que usa el Mantersplinter de Handle, ha revelado una vulnerabilidad de inyección de lenguaje de objetos de Salesforce (SOQL) que podría explotarse para acceder a datos confidenciales de los usuarios.
Existen vulnerabilidades de día cero (sin CVE) en el controlador Aura predeterminado que existe en todas las implementaciones de Salesforce. Este es el resultado del parámetro «ContentDocumentId» controlado por el usuario.
La explotación exitosa de los defectos podría permitir al atacante insertar consultas adicionales a través de parámetros, lo que permite extraer la base de datos. Las exploits se pueden mejorar aún más al aprobar una lista de IDS correlacionados con objetos de contenido de contenido no publicado para recopilar información sobre documentos cargados.
Según Righi, la ID puede generarse mediante un script de fuerza bruta exposición que puede generar posibles ID de Salesforce anteriores o próximos en función de una ID de entrada válida. Esto es posible a su vez por el hecho de que Salesforce ID en realidad no proporciona perímetros de seguridad y en realidad es algo predecible.
«Como se mencionó en el estudio, después de recibir el informe, nuestro equipo de seguridad investigó y resolvió rápidamente el problema. No hemos observado ninguna evidencia de explotación en el entorno del cliente», dijo un portavoz de Salesforce. «Agradecemos los esfuerzos de Tobia para revelar de manera responsable este problema a Salesforce y continuar alentando a la comunidad de investigación de seguridad a informar posibles problemas a través de canales establecidos».
Source link
