為了進一步挖掘受害企業的機敏資訊,駭客可能會鎖定客戶關係管理系統(CRM)平臺Salesforce下手,竊取其中的內容,最近一起針對該平臺而來的資安事故,是駭客組織Gehenna(GHNA)從可口可樂裝瓶合作夥伴Coca-Cola Europacific Partners(CCEP)竊得內部資料。一旦這類系統出現資安漏洞,就有可能成為駭客利用的標的。
最近有兩組研究人員揭露與Salesforce有關的漏洞,其中又以資安研究員Tobia Righi公布的零時差漏洞先引起關注,這項弱點發生在Salesforce預設的控制器,此控制器將contentDocumentId參數直接嵌入動態的Salesforce Object Query Language(SOQL)查詢,卻未經過適當處理,導致可被惡意操控。Tobia Righi先後於2月下旬及4月初向Salesforce通報此事,直到最近似乎Salesforce默默地完成修補,Tobia Righi才公布漏洞細節。研究人員指出,Salesforce並未發布資安公告提及此事,也沒有登記CVE編號,當他詢問能否參與漏洞懸賞專案,Salesforce竟回覆:該專案不再受理漏洞通報。
這項資安漏洞的發現,源自於Tobia Righi對於Salesforce提供的Aura框架進行模糊測試(Fuzzing),察覺其中一項內建的控制器存在SOQL注入弱點,並指出攻擊者若是能繞過SOQL的管制,就有可能取得敏感的用戶資料,以及上傳檔案的詳細資訊。這種問題影響將相當廣泛,成千上萬的Salesforce平臺都可能曝險。研究人員最終透過特製的輸入觸發錯誤訊息,成功找出能用於SOQL注入的資安弱點。
另一組漏洞的揭露,來自SaaS應用程式資安業者AppOmni,他們在Salesforce為特定產業提供的雲端解決方案Industry Clouds當中,找到21項與組態配置有關的弱點,有可能導致未經授權的攻擊者存取加密表單、竊取連線階段(Session)、帳密資料,甚至是掌握商業運作邏輯。AppOmni向Salesforce通報並進行合作,結果有5個登記了CVE編號列管,其中有3項完成修補、2項Salesforce發布組態配置指引,而對於未登記編號的16項組態弱點,Salesforce認為並非是軟體錯誤,應由客戶負責處理。
Industry Clouds是Salesforce以Customer 360平臺為基礎建構的垂直整合解決方案,結合CRM與產業專屬功能,讓企業能以低程式碼(Low-code)方式快速部署符合業務需求的應用程式。由於Industry Clouds廣泛用於金融、醫療保健、製造、電信、公共服務等領域,因此這些配置不當的弱點,影響範圍可能會相當廣泛。
針對這次AppOmni找到的弱點,研究人員指出存在於FlexCards、Data Mappers、Integration Procedures、Data Packs、OmniOut,以及OmniScript Saved Sessions功能。其中被登記CVE編號的弱點,有4項出現於FlexCards,1項與Data Mappers有關,CVSS風險介於5.3至7.5分。
熱門新聞
2024-08-05
2025-07-14
2025-07-14
2025-07-14
2025-07-11
2025-07-14
2025-07-11