محققان امنیت سایبری بیش از ۲۰ خطر مرتبط با پیکربندی را در Salesforce Industry Cloud کشف کردند که داده‌های حساس را در معرض دسترسی افراد داخلی و خارجی غیرمجاز قرار می‌دهد. این ضعف‌ها بر اجزای مختلفی مانند FlexCards، Data Mappers، Integration Procedures، Data Packs، OmniOut و OmniScript Saved Sessions تأثیر می‌گذارد.

آرون کاستلو، رئیس تحقیقات امنیت SaaS در AppOmni می‌گوید: «پلتفرم‌های کم‌کد مانند Salesforce Industry Cloud ساخت برنامه‌ها را آسان‌تر می‌کنند، اما این راحتی می‌تواند هزینه‌بر باشد اگر امنیت در اولویت قرار نگیرد.»

این پیکربندی‌های نادرست در صورت عدم رفع می‌توانند به مجرمان سایبری و افراد غیرمجاز اجازه دسترسی به موارد زیر را بدهند:
• داده‌های محرمانه رمزگذاری شده کارمندان و مشتریان
• داده‌های جلسه که نحوه تعامل کاربران با Salesforce Industry Cloud را نشان می‌دهد
• اعتبارنامه‌های Salesforce و سایر سیستم‌های شرکت
• منطق کسب‌وکار

پس از افشای مسئولانه، Salesforce این کاستی‌ها را برطرف کرده و راهنمای پیکربندی برای سایر موارد صادر کرده است. نقص‌هایی که شناسه CVE دریافت کرده‌اند عبارتند از:

CVE-2025-43697: اگر “بررسی امنیت سطح فیلد” برای Extract و Turbo Extract Data Mappers فعال نباشد، بررسی مجوز “مشاهده داده‌های رمزگذاری شده” اعمال نمی‌شود و مقادیر متن ساده برای فیلدهای رمزگذاری شده در معرض دید کاربران قرار می‌گیرد.

CVE-2025-43698: منبع داده SOQL هنگام واکشی داده‌ها از اشیاء Salesforce، امنیت سطح فیلد را دور می‌زند.

CVE-2025-43699: Flexcard فیلد “مجوزهای مورد نیاز” را برای شیء OmniUlCard اعمال نمی‌کند.

CVE-2025-43700: Flexcard مجوز “مشاهده داده‌های رمزگذاری شده” را اعمال نمی‌کند و مقادیر متن ساده را برای داده‌هایی که از رمزگذاری کلاسیک استفاده می‌کنند، برمی‌گرداند.

CVE-2025-43701: FlexCard به کاربران مهمان اجازه دسترسی به مقادیر تنظیمات سفارشی را می‌دهد.

مهاجمان می‌توانند از این مشکلات برای دور زدن کنترل‌های امنیتی و استخراج اطلاعات حساس مشتریان یا کارمندان استفاده کنند. AppOmni اعلام کرد که CVE-2025-43967 و CVE-2025-43698 از طریق تنظیم امنیتی جدیدی به نام “EnforceDMFLSAndDataEncryption” حل شده‌اند که مشتریان باید آن را فعال کنند.

شرکت می‌گوید: «برای سازمان‌هایی که مشمول الزامات انطباق مانند HIPAA، GDPR، SOX یا PCI-DSS هستند، این شکاف‌ها می‌توانند خطرات نظارتی واقعی ایجاد کنند. از آنجا که مسئولیت پیکربندی ایمن این تنظیمات بر عهده مشتری است، یک تنظیم از دست رفته می‌تواند منجر به نقض هزاران رکورد شود.»

سخنگوی Salesforce گفت که اکثریت قریب به اتفاق مسائل از مشکلات پیکربندی مشتری ناشی می‌شوند و آسیب‌پذیری‌های ذاتی برنامه نیستند. شرکت اعلام کرد: «تمام مسائل شناسایی شده حل شده‌اند، وصله‌ها در دسترس مشتریان قرار گرفته و مستندات رسمی به‌روزرسانی شده‌اند. ما شواهدی از بهره‌برداری در محیط‌های مشتریان مشاهده نکرده‌ایم.»

همزمان، محقق امنیتی توبیا ریگی یک آسیب‌پذیری تزریق SOQL را در Salesforce افشا کرد که می‌تواند برای دسترسی به داده‌های حساس کاربران مورد سوءاستفاده قرار گیرد. این آسیب‌پذیری روز صفر در یک کنترلر aura پیش‌فرض موجود در تمام استقرارهای Salesforce وجود دارد.

بهره‌برداری موفق از این نقص می‌تواند به مهاجمان اجازه دهد پرس‌وجوهای اضافی را از طریق پارامتر وارد کرده و محتویات پایگاه داده را استخراج کنند. این بهره‌برداری می‌تواند با ارسال لیستی از شناسه‌های مرتبط با اشیاء ContentDocument که عمومی نیستند، تقویت شود.

ریگی گفت که شناسه‌ها را می‌توان با استفاده از یک اسکریپت brute-force عمومی که می‌تواند شناسه‌های احتمالی قبلی یا بعدی Salesforce را بر اساس یک شناسه معتبر ورودی تولید کند، ایجاد کرد. این امر به دلیل این واقعیت ممکن است که شناسه‌های Salesforce در واقع مرز امنیتی ارائه نمی‌دهند و تا حدودی قابل پیش‌بینی هستند.

سخنگوی Salesforce گفت: «پس از دریافت گزارش، تیم امنیت ما به سرعت بررسی و مشکل را حل کرد. ما شواهدی از بهره‌برداری در محیط‌های مشتریان مشاهده نکرده‌ایم. ما از تلاش‌های توبیا برای افشای مسئولانه این مسئله قدردانی می‌کنیم.»