Pesquisadores de cibersegurança descobriram mais de 20 riscos relacionados à configuração que afetam o Salesforce Industry Cloud (conhecido como Salesforce Industries), expondo dados sensíveis a partes internas e externas não autorizadas.
As fragilidades afetam vários componentes, como FlexCards, Data Mappers, Integration Procedures (IProcs), Data Packs, OmniOut e OmniScript Saved Sessions.
"Plataformas de baixo código como o Salesforce Industry Cloud tornam a construção de aplicações mais fácil, mas essa conveniência pode ter um custo se a segurança não for priorizada," disse Aaron Costello, chefe de Pesquisa de Segurança SaaS na AppOmni, em um comunicado compartilhado com a imprensa.
Essas má configurações, se não forem abordadas, poderiam permitir que criminosos cibernéticos e pessoas não autorizadas acessassem dados confidenciais criptografados sobre funcionários e clientes, dados de sessão detalhando como os usuários interagiram com o Salesforce Industry Cloud, credenciais para Salesforce e outros sistemas da empresa, e lógica de negócios.
Após a divulgação responsável, a Salesforce tratou das falhas e emitiu orientações de configuração para a outra má configuração.
Os defeitos que receberam identificadores CVE estão listados abaixo:
-
CVE-2025-43697
(pontuação CVSS: N/A) - Se "Check Field Level Security" não estiver habilitado para "Extract" e "Turbo Extract Data Mappers, a verificação de permissão "View Encrypted Data" não é aplicada, expondo valores em texto claro para campos criptografados a usuários com acesso a um determinado registro
-
CVE-2025-43698
(pontuação CVSS: N/A) - A fonte de dados SOQL ignora qualquer Segurança de Nível de Campo ao buscar dados de objetos Salesforce;
-
CVE-2025-43699
(pontuação CVSS: 5.3) - Flexcard não aplica o campo "Required Permissions" para o objeto OmniUlCard;
-
CVE-2025-43700
(pontuação CVSS: 7.5) - Flexcard não aplica a permissão "View Encrypted Data", retornando valores em texto plano para dados que usam Criptografia Clássica;
-
CVE-2025-43701
(pontuação CVSS: 7.5) - FlexCard permite que Usuários Convidados acessem valores para Configurações Personalizadas.
Simplificando, atacantes podem utilizar essas questões para contornar controles de segurança e extrair informações sensíveis de clientes ou funcionários.
A AppOmni disse que o
CVE-2025-43967
e o
CVE-2025-43698
foram abordados através de uma nova configuração de segurança chamada "EnforceDMFLSAndDataEncryption" que os clientes terão que habilitar para garantir que somente usuários com a permissão "View Encrypted Data" possam ver o valor em texto plano dos campos retornados pelo Data Mapper.
"Para organizações sujeitas a mandatos de conformidade como HIPAA, GDPR, SOX ou PCI-DSS, essas lacunas podem representar uma real exposição regulatória," disse a empresa.
E porque é responsabilidade do cliente configurar essas definições de forma segura, uma única configuração perdida pode levar à violação de milhares de registros, sem responsabilidade do fornecedor.
Quando solicitado para comentar, um porta-voz da Salesforce disse que a grande maioria dos problemas "decorrem de questões de configuração do cliente" e não são vulnerabilidades inerentes à aplicação.
"Todos os problemas identificados nesta pesquisa foram resolvidos, com patches disponibilizados para os clientes, e a documentação oficial atualizada para refletir a funcionalidade de configuração completa," disse a empresa.
"Não observamos nenhuma evidência de exploração nos ambientes dos clientes como resultado desses problemas."
As descobertas vêm à medida que o pesquisador de segurança Tobia Righi, conhecido pelo pseudônimo MasterSplinter, divulgou uma vulnerabilidade de injeção Salesforce Object Query Language (SOQL) que poderia ser explorada para acessar dados sensíveis do usuário.
A vulnerabilidade de dia zero (sem CVE) existe em um controlador aura padrão presente em todas as implantações da Salesforce, surgindo como resultado de um parâmetro "contentDocumentId" controlado pelo usuário que é inserido de forma insegura em "aura://CsvDataImportResourceFamilyController/ACTION$getCsvAutoMap" que cria um caminho para a injeção SOQL.
A exploração bem-sucedida da falha poderia ter permitido aos atacantes inserir consultas adicionais através do parâmetro e extrair conteúdos do banco de dados.
O exploit poderia ser ainda mais aumentado passando uma lista de IDs correlacionados a objetos ContentDocument que não são públicos de modo a reunir informações sobre documentos carregados.
Os IDs, disse Righi, podem ser gerados por meio de um script de força bruta disponível publicamente que pode gerar possíveis IDs da Salesforce anteriores ou subsequentes com base em um ID de entrada válido.
Isso, por sua vez, é possível devido ao fato de que os IDs da Salesforce na verdade não fornecem um limite de segurança e são de alguma forma previsíveis.
"Como observado na pesquisa, após receber o relatório, nossa equipe de segurança investigou prontamente e resolveu o problema.
Não observamos nenhuma evidência de exploração nos ambientes dos clientes," disse o porta-voz da Salesforce.
"Agradecemos os esforços de Tobia para divulgar responsavelmente este problema à Salesforce, e continuamos a encorajar a comunidade de pesquisa de segurança a relatar problemas potenciais através de nossos canais estabelecidos."
Publicidade
A Dola é uma IA que funciona diretamente no WhatsApp ou Telegram, permitindo que você gerencie sua agenda — seja do Google Calendar ou do iPhone — de forma simples e intuitiva, mandando mensagens de texto, áudio ou até imagens.
Com a Dola, você recebe lembretes inteligentes, ligações na hora dos compromissos, resumo diário da sua agenda, pode fazer perguntas a qualquer momento e até receber, todos os dias, a previsão do tempo.
Perfeita para quem busca mais organização, foco e produtividade no dia a dia.
E o melhor: é gratuito! Experimente agora.
Saiba mais...