Эксперты по кибербезопасности выявили свыше 20 ошибок в настройках Salesforce Industry Cloud (также известного как Salesforce Industries), которые могут позволить злоумышленникам получить доступ к конфиденциальной информации как внутри компании, так и извне.
Уязвимости затрагивают множество элементов платформы: FlexCards, Data Mappers, Integration Procedures (IProcs), Data Packs, OmniOut и сохранённые сессии OmniScript.
«Платформы с низким уровнем кода, вроде Salesforce Industry Cloud, значительно упрощают создание приложений, но такая простота становится опасной, если безопасность не на должном уровне», — предупреждает Аарон Костелло, руководитель отдела исследований безопасности SaaS в AppOmni.
Если не устранить эти ошибки, злоумышленники смогут получить доступ к зашифрованным персональным данным сотрудников и клиентов, сведениям о действиях пользователей, учётным данным Salesforce и других корпоративных систем, а также к бизнес-логике компании.
После ответственного раскрытия информации Salesforce исправил три уязвимости и предоставил рекомендации по настройке ещё для двух. Остальные 16 ошибок лежат на ответственности клиентов и требуют самостоятельного исправления.
Ниже — список уязвимостей с присвоенными им CVE:
- CVE-2025-43697 (оценка CVSS: отсутствует) — при отключённой опции «Check Field Level Security» для Data Mappers Extract и Turbo Extract отсутствует проверка права «View Encrypted Data», что позволяет пользователям с доступом к записи видеть незашифрованные значения полей
- CVE-2025-43698 (оценка CVSS: отсутствует) — источник данных SOQL игнорирует все настройки Field-Level Security при извлечении данных из объектов Salesforce
- CVE-2025-43699 (оценка CVSS: 5.3) — FlexCard не проверяет поле «Required Permissions» для объекта OmniUlCard
- CVE-2025-43700 (оценка CVSS: 7.5) — FlexCard не применяет разрешение «View Encrypted Data», возвращая открытый текст для данных с классическим шифрованием
- CVE-2025-43701 (оценка CVSS: 7.5) — FlexCard позволяет гостевым пользователям получать доступ к значениям пользовательских настроек (Custom Settings)
Проще говоря, злоумышленники могут использовать эти уязвимости, чтобы обходить защиту и похищать конфиденциальные данные клиентов и сотрудников.
Компания AppOmni сообщает, что для устранения уязвимостей CVE-2025-43697 и CVE-2025-43698 введена новая настройка безопасности «EnforceDMFLSAndDataEncryption». Её нужно включить, чтобы только пользователи с правом «View Encrypted Data» могли видеть незашифрованные значения, которые возвращает Data Mapper.
«Для компаний, подчинённых регуляторным стандартам вроде HIPAA, GDPR, SOX или PCI-DSS, эти уязвимости представляют реальную угрозу соответствия», — подчёркивают эксперты. — «Поскольку настройка безопасности — дело клиентов, даже одна пропущенная опция может привести к утечке тысяч записей, при этом ответственность за это не лежит на поставщике».
Представитель Salesforce отметил, что большая часть проблем связана с ошибками клиентов при настройке, а не с внутренними уязвимостями платформы.
«Все выявленные проблемы были исправлены, патчи уже доступны клиентам, а документация обновлена и подробно описывает все необходимые настройки», — сообщили в компании. — «Нам не известны случаи эксплуатации этих уязвимостей в реальных системах».
Это сообщение появилось вскоре после того, как исследователь по имени MasterSplinter раскрыл уязвимость SOQL-инъекции, способную открыть доступ к персональным данным пользователей Salesforce.
Этот zero-day (без присвоенного CVE) связан с контроллером aura, установленным по умолчанию во всех установках Salesforce. Уязвимым оказался параметр «contentDocumentId», небезопасно внедрённый в «aura://CsvDataImportResourceFamilyController/ACTION$getCsvAutoMap», что позволяло проводить SQL-инъекции.
Эксплуатация давала злоумышленникам возможность добавлять произвольные запросы и извлекать содержимое базы данных. Уязвимость усугублялась тем, что можно было передавать список ID объектов ContentDocument, скрытых от публичного доступа, чтобы собрать информацию о загруженных документах.
Как объяснил MasterSplinter, эти ID можно сгенерировать с помощью общедоступных скриптов перебора, основанных на известных ID Salesforce, поскольку система идентификаторов достаточно предсказуема и не обеспечивает надёжной защиты.
«После получения сообщения команда безопасности Salesforce оперативно провела расследование и исправила уязвимость. На данный момент случаев эксплуатации в реальных системах не зафиксировано», — добавил представитель Salesforce. — «Мы благодарим MasterSplinter за ответственное раскрытие и поощряем исследователей сообщать о потенциальных проблемах через официальные каналы».
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru