Peneliti cybersecurity telah menemukan lebih dari 20 risiko terkait konfigurasi yang mempengaruhi Cloud Industri Salesforce (AKA Salesforce Industries), mengekspos data sensitif ke pihak internal dan eksternal yang tidak sah.
Kelemahan mempengaruhi berbagai komponen seperti kartu fleksibel, pemetaan data, prosedur integrasi (iProcs), paket data, omniout, dan sesi yang disimpan omniscript.
“Platform kode rendah seperti Salesforce Industry Cloud membuat aplikasi membangun lebih mudah, tetapi kenyamanan itu dapat dikenakan biaya jika keamanan tidak diprioritaskan,” Aaron Costello, Kepala Penelitian Keamanan SaaS di Appomni, mengatakan dalam sebuah pernyataan yang dibagikan kepada Hacker News.
Kesalahan konfigurasi ini, jika dibiarkan tidak tertangani, dapat memungkinkan penjahat cyber dan tidak sah untuk mengakses data rahasia terenkripsi pada karyawan dan pelanggan, data sesi yang merinci bagaimana pengguna berinteraksi dengan cloud industri Salesforce, kredensial untuk tenaga penjualan dan sistem perusahaan lainnya, dan logika bisnis.
Mengikuti pengungkapan yang bertanggung jawab, Salesforce telah membahas tiga kekurangan dan mengeluarkan panduan konfigurasi untuk dua lainnya. 16 kesalahpahaman yang tersisa telah diserahkan kepada pelanggan untuk memperbaikinya sendiri.
Kerentanan yang telah ditugaskan pengidentifikasi CVE tercantum di bawah ini –
- CVE-2025-43697 (Skor CVSS: N/A) – Jika 'Periksa Keamanan Level Level' tidak diaktifkan untuk 'Ekstrak' dan 'Turbo Extract Data Mapper, Pemeriksaan Izin' View Enrypted Data 'tidak ditegakkan, memaparkan nilai ClearText untuk bidang terenkripsi ke pengguna dengan akses ke catatan yang diberikan yang diberikan ke catatan yang diberikan ke suatu catatan yang diberikan untuk catatan yang diberikan ke suatu catatan tertentu
- CVE-2025-43698 (Skor CVSS: N/A) – Sumber data SOQL mem -bypass keamanan tingkat lapangan apa pun saat mengambil data dari objek Salesforce
- CVE-2025-43699 (Skor CVSS: 5.3) – Flexcard tidak menegakkan bidang 'Izin yang Diperlukan' untuk objek Omniulcard
- CVE-2025-43700 (Skor CVSS: 7.5) – FlexCard tidak menegakkan izin 'Lihat Data Dienkripsi', mengembalikan nilai plaintext untuk data yang menggunakan enkripsi klasik
- CVE-2025-43701 (Skor CVSS: 7.5) – FlexCard memungkinkan pengguna tamu untuk mengakses nilai untuk pengaturan khusus
Sederhananya, penyerang dapat mempersenjatai masalah ini untuk memotong kontrol keamanan dan mengekstraksi informasi pelanggan atau karyawan yang sensitif.
Appomni mengatakan CVE-2025-43967 dan CVE-2025-43698 telah ditangani melalui pengaturan keamanan baru yang disebut “ditegakkan dengan dancrypyption” yang harus diaktifkan pelanggan untuk memastikan bahwa hanya pengguna dengan izin “view terenkripsi” izin yang mungkin melihat nilai plainxext dari bidang yang dikembalikan.
“Untuk organisasi yang tunduk pada mandat kepatuhan seperti HIPAA, GDPR, SOX, atau PCI-DSS, kesenjangan ini dapat mewakili paparan peraturan nyata,” kata perusahaan itu. “Dan karena itu adalah tanggung jawab pelanggan untuk mengonfigurasi pengaturan ini dengan aman, satu pengaturan yang terlewatkan dapat menyebabkan pelanggaran ribuan catatan, tanpa akuntabilitas vendor.”
Ketika dihubungi untuk memberikan komentar, juru bicara Salesforce mengatakan kepada Hacker News bahwa sebagian besar masalah “berasal dari masalah konfigurasi pelanggan” dan bukan kerentanan yang melekat pada aplikasi.
“Semua masalah yang diidentifikasi dalam penelitian ini telah diselesaikan, dengan tambalan tersedia untuk pelanggan, dan dokumentasi resmi yang diperbarui untuk mencerminkan fungsionalitas konfigurasi lengkap,” kata perusahaan itu. “Kami belum mengamati bukti eksploitasi di lingkungan pelanggan sebagai akibat dari masalah ini.”
Pengungkapan itu datang sebagai peneliti keamanan Tobia Righi, yang menggunakan pegangan masterplinter, mengungkapkan kerentanan injeksi objek Salesforce Object Query (SOQL) yang dapat dieksploitasi untuk mengakses data pengguna yang sensitif.
Kerentanan zero-day (tidak ada CVE) yang ada dalam pengontrol Aura default yang ada di semua penyebaran tenaga penjualan, yang timbul sebagai akibat dari parameter “ContentDocumentID” yang dikendalikan pengguna yang disematkan dengan tidak aman untuk “Aura.
Eksploitasi cacat yang berhasil dapat memungkinkan penyerang untuk memasukkan kueri tambahan melalui parameter dan mengekstrak konten database. Eksploitasi dapat ditambah lebih lanjut dengan menyampaikan daftar ID yang berkorelasi dengan objek ContentDocument yang tidak publik untuk mengumpulkan informasi tentang dokumen yang diunggah.
IDS, kata Righi, dapat dihasilkan dengan menggunakan skrip brute-force yang tersedia untuk umum yang dapat menghasilkan kemungkinan ID Salesforce sebelumnya atau berikutnya berdasarkan ID input yang valid. Ini, pada gilirannya, dimungkinkan karena fakta bahwa ID Salesforce tidak benar -benar memberikan batas keamanan dan sebenarnya agak dapat diprediksi.
“Seperti dicatat dalam penelitian, setelah menerima laporan, tim keamanan kami segera menyelidiki dan menyelesaikan masalah ini. Kami belum mengamati bukti eksploitasi di lingkungan pelanggan,” kata juru bicara Salesforce. “Kami menghargai upaya Tobia untuk secara bertanggung jawab mengungkapkan masalah ini kepada Salesforce, dan kami terus mendorong komunitas riset keamanan untuk melaporkan masalah potensial melalui saluran kami yang sudah mapan.”
