サイバーセキュリティ研究者が、Salesforceのクラウドコンポーネントにおいて、5件のゼロデイ脆弱性と20件を超える設定リスクを発見しました。
6月10日、AppOmniのSaaSセキュリティ研究責任者であるアーロン・コステロ氏は、新たなレポートを公開し、Salesforceのインダストリークラウド製品(組織が業界特化のアプリケーションやワークフローを、簡素化されたローコード方式で構築できるように設計されたソリューション群)に関する調査結果を共有しました。
コステロ氏が特定したこれらの設定不備により、権限のない人物が暗号化された機微データ(従業員および顧客情報、Salesforceインダストリークラウドにおけるユーザー操作を示すセッションログ、Salesforceおよび他の社内システムの認証情報、ならびに独自のビジネスロジックを含む)へアクセスできる可能性があります。
影響を受ける製品はSalesforce OmniStudioスイートの一部で、FlexCards、Integration Procedures(IProcs)、Data Mappers、OmniScript Saved Sessions、Data Packs、OmniOutが含まれます。
別のSalesforceの業界特化型提供であるVlocityスイートは影響を受けません。ただしコステロ氏は、「機能セットが重複しているため、Vlocityにも同様のリスクの多くが存在する」と指摘しました。
2件のゼロデイを含む5件の脆弱性を発見
AppOmniはコステロ氏の調査結果をSalesforceに開示し、Salesforceは5件の問題を脆弱性として特定して、共通脆弱性識別子(CVE)を割り当てました。うち4件はFlexCardsに、1件はData Mappersに影響しました。
これらの問題のうち3件(いずれもFlexCardsに影響)は完全に解決され、顧客側での対応は不要となっています。
- CVE-2025-4399: FlexCardsがOmniUlCardオブジェクトの「Required Permissions」フィールドを強制しない(CVSSv3スコア: 5.3)
- CVE-2025-43700: FlexCardsが「View Encrypted Data」権限を強制せず、Classic Encryptionを使用するデータについて平文の値を返す(CVSSv3スコア: 7.5)
- CVE-2025-43701: FlexCardsがゲストユーザーにCustom Settingsの値へのアクセスを許可する(CVSSv3スコア: 7.5)
修正後、Salesforceは2025年5月19日に顧客へメールで連絡し、これらの脆弱性について通知しました。
Infosecurityに対し、Salesforceの広報担当者は次のように述べました。 「本研究で特定されたすべての問題は解決済みで、顧客向けにパッチを提供し、公式ドキュメントも完全な設定機能を反映するよう更新しました。これらの問題に起因して顧客環境で悪用された証拠は確認していません。」
残る2件の脆弱性は修正されていませんが、顧客が設定可能なセキュリティ設定を導入することで対処されており、利用者が自ら防御策を実装する責任へと移っています。 該当するのは次のとおりです。
- CVE-2025-43697: Data Mappersにおける権限の不適切な保持の脆弱性により、暗号化データが露出する可能性がある
- CVE-2025-43698: Salesforce FlexCardsにおける権限の不適切な保持の脆弱性により、Salesforceオブジェクトのフィールドレベルセキュリティ制御を回避できる可能性がある
Salesforceと協力しながら、AppOmniはCVE-2025-43697およびCVE-2025-43698の両方に対する緩和策の推奨事項を提示しました。
前者の脆弱性について、AppOmniは全社(組織)全体で、すべてのData Mappersに対してFLSを強制することを推奨しました。
- [設定]から「Omni Interaction Configuration」を入力し、[Feature Settings]>[Omni Interaction]>[Omni Interaction Configuration]を選択する
- [New Omni Interaction Configuration]を選択する
- [Name]と[Label]に「EnforceDMFLSAndDataEncryption」を入力する。[Value]フィールドに「true」を入力する
後者の脆弱性について、AppOmniは、Data Mapperが返すフィールドの平文値を「View Encrypted Data」権限を持つユーザーのみが閲覧できるようにするため、Omni Interaction Configurationの設定「EnforceDMFLSAndDataEncryption」を有効化するよう組織に助言しました。主な手順は次のとおりです。
- [設定]から「Omni Interaction Configuration」を入力し、[Feature Settings]>[Omni Interaction]>[Omni Interaction Configuration]を選択する
- [New Omni Interaction Configuration]を選択する
- [Name]と[Label]に「EnforceDMFLSAndDataEncryption」を入力する。[Value]フィールドに「true」を入力する
- [Save]をクリックする
規制上の露出に関する警告
AppOmniは、これらの設定を安全に構成する責任が顧客側にあるため、設定を1つ見落とすだけで数千件のレコードが侵害され得る一方、ベンダー側の責任は問われない可能性があると指摘しました。
さらに、米国の医療保険の携行性と責任に関する法律(HIPAA)やサーベンス・オクスリー法(SOX)などのコンプライアンス要件、ならびにEUおよび英国の一般データ保護規則(GDPR)やクレジットカード業界データセキュリティ基準(PCI-DSS)の適用を受ける組織は、これらのギャップにより現実的な規制上のリスクに直面します。
これらの調査結果は、Google Cloud傘下のMandiantが、UNC6040として追跡され「The Com」として知られる集団に関連する英語話者のハッカーが、企業をだましてData Loader(Salesforceプラットフォーム内で大量のデータをインポート、エクスポート、更新するのを支援するSalesforceツール)への広範なアクセスを与えさせていたことを観測したと警告してから数日後に出てきたものです。
この記事は6月12日に更新され、Salesforceからのコメントを追加しました。
写真クレジット: Tada Images/Shutterstock
翻訳元: https://www.infosecurity-magazine.com/news/zeroday-20-misconfigurations-in/
