サイバーセキュリティ研究者は、Salesforce Industry Cloud(別名Salesforce Industries)に影響を与える20以上の設定に関連するリスクを発見し、機密データが許可されていない内部および外部の関係者に露出する可能性があることを明らかにしました。
この脆弱性は、FlexCards、Data Mappers、Integration Procedures(IProcs)、Data Packs、OmniOut、およびOmniScript Saved Sessionsなどのさまざまなコンポーネントに影響を与えます。
「Salesforce Industry Cloudのようなローコードプラットフォームはアプリケーションの構築を容易にしますが、セキュリティが優先されない場合、その利便性は代償を伴うことがあります」と、AppOmniのSaaSセキュリティ研究の責任者であるアーロン・コステロ氏は、The Hacker Newsに共有された声明で述べています。
これらの設定ミスが放置されると、サイバー犯罪者や許可されていない者が従業員や顧客の暗号化された機密データ、Salesforce Industry Cloudとのやり取りを詳細に示すセッションデータ、Salesforceおよび他の会社システムの資格情報、ビジネスロジックにアクセスできる可能性があります。
責任ある開示の後、Salesforceは3つの欠点に対処し、他の2つに対して設定ガイダンスを発行しました。残りの16の設定ミスは、顧客が自分で修正するように任されています。
CVE識別子が割り当てられた脆弱性は以下の通りです –
- CVE-2025-43697 (CVSSスコア: N/A) – ‘Extract’および’Turbo Extract Data Mappers’に対して’Check Field Level Security’が有効になっていない場合、’View Encrypted Data’の権限チェックが実施されず、暗号化フィールドの平文値が特定のレコードにアクセスできるユーザーに露出します
- CVE-2025-43698 (CVSSスコア: N/A) – SOQLデータソースはSalesforceオブジェクトからデータを取得する際に、フィールドレベルセキュリティをバイパスします
- CVE-2025-43699 (CVSSスコア: 5.3) – FlexcardはOmniUlCardオブジェクトに対する’Required Permissions’フィールドを強制しません
- CVE-2025-43700 (CVSSスコア: 7.5) – Flexcardは’View Encrypted Data’の権限を強制せず、Classic Encryptionを使用するデータの平文値を返します
- CVE-2025-43701 (CVSSスコア: 7.5) – FlexCardはゲストユーザーがカスタム設定の値にアクセスすることを許可します
簡単に言えば、攻撃者はこれらの問題を武器にしてセキュリティコントロールを回避し、顧客や従業員の機密情報を抽出することができます。
AppOmniは、CVE-2025-43967およびCVE-2025-43698が、”EnforceDMFLSAndDataEncryption“という新しいセキュリティ設定を通じて対処されており、顧客はこれを有効にすることで、”View Encrypted Data”の権限を持つユーザーのみがData Mapperによって返されるフィールドの平文値を閲覧できるようにする必要があると述べています。
「HIPAA、GDPR、SOX、またはPCI-DSSなどのコンプライアンス要件を受ける組織にとって、これらのギャップは実際の規制上のリスクを表す可能性があります」と同社は述べています。「そして、これらの設定を安全に構成するのは顧客の責任であるため、1つの設定ミスが数千のレコードの漏洩につながる可能性があり、ベンダーには責任がありません。」
コメントを求められたSalesforceのスポークスパーソンは、The Hacker Newsに対して、問題の大部分は「顧客の設定問題に起因しており、アプリケーション自体の脆弱性ではない」と述べました。
「この研究で特定されたすべての問題は解決されており、顧客にパッチが提供され、公式ドキュメントが完全な設定機能を反映するように更新されています」と同社は述べました。「これらの問題の結果として、顧客環境での悪用の証拠は観察されていません。」
この開示は、セキュリティ研究者のトビア・リギ氏(ハンドルネームMasterSplinter)が、機密ユーザーデータにアクセスするために悪用される可能性のあるSalesforce Object Query Language(SOQL)インジェクションの脆弱性を公開した際に行われました。
ゼロデイ脆弱性(CVEなし)は、すべてのSalesforce展開に存在するデフォルトのオーラコントローラーに存在し、ユーザー制御の”contentDocumentId”パラメータが”aura://CsvDataImportResourceFamilyController/ACTION$getCsvAutoMap”に安全でない方法で埋め込まれることにより、SOQLインジェクションの経路が作成されます。
この欠陥の成功した悪用は、パラメータを通じて追加のクエリを挿入し、データベースの内容を抽出することを可能にする可能性があります。この悪用は、公開されていないContentDocumentオブジェクトに関連するIDのリストを渡すことによって、アップロードされたドキュメントに関する情報を収集するためにさらに強化される可能性があります。
リギ氏は、IDは公開されているブルートフォーススクリプトを使用して生成可能であり、有効な入力IDに基づいて可能な以前または次のSalesforce IDを生成できると述べています。これは、Salesforce IDが実際にはセキュリティ境界を提供せず、ある程度予測可能であるために可能です。
「研究で指摘されたように、報告を受けた後、私たちのセキュリティチームは迅速に調査し、問題を解決しました。顧客環境での悪用の証拠は観察されていません」とSalesforceのスポークスパーソンは述べました。「トビア氏がこの問題を責任を持ってSalesforceに開示してくれたことに感謝し、セキュリティ研究コミュニティが既存のチャネルを通じて潜在的な問題を報告することを引き続き奨励しています。」
翻訳元: https://thehackernews.com/2025/06/researchers-uncover-20-configuration.html