Cybersecurity-onderzoekers hebben meer dan 20 configuratiegerelateerde risico’s ontdekt die de Salesforce Industry Cloud (AKA Salesforce Industries) beïnvloeden, waardoor gevoelige gegevens worden blootgesteld aan ongeautoriseerde interne en externe partijen.
De zwakke punten beïnvloeden verschillende componenten zoals FlexCards, Data Mappers, Integration Procedures (IPROC’s), Data Packs, Omniout en OmniScript opgeslagen sessies.
“Low-code platforms zoals Salesforce Industry Cloud maken bouwtoepassingen gemakkelijker, maar dat gemak kan kosten voor een kosten als beveiliging niet prioriteit wordt gegeven,” zei Aaron Costello, hoofd van SaaS Security Research bij Appomni, in een verklaring gedeeld met het Hacker News.
Deze verkeerde configuraties, als ze niet worden geadresseerd, kunnen cybercriminelen en ongeautoriseerd toegang krijgen tot gecodeerde vertrouwelijke gegevens over werknemers en klanten, sessiegegevens waarin wordt beschreven hoe gebruikers hebben omgegaan met Salesforce Industry Cloud, referenties voor Salesforce en andere bedrijfssystemen en bedrijfslogica.
Na verantwoorde openbaarmaking heeft Salesforce drie van de tekortkomingen aangepakt en configuratierichtlijnen uitgegeven voor nog eens twee. De resterende 16 verkeerde configuraties zijn aan de klanten overgelaten om ze zelf te repareren.
De kwetsbaarheden die zijn toegewezen CVE -identificaties worden hieronder vermeld –
- CVE-2025-43697 (CVSS -score: N/A) – Als ‘Check Field Level Security’ niet is ingeschakeld voor ‘Extract’ en ‘Turbo Extract Data Mappers, wordt de toestemmingscontrole’ View Codeed Data ‘niet afgedwongen, waardoor ClearText -waarden worden blootgesteld voor de gecodeerde velden aan gebruikers met toegang tot een gegeven record
- CVE-2025-43698 (CVSS -score: N/A) – De SOQL -gegevensbron omzeilt elke beveiliging op het veld op veldniveau bij het ophalen van gegevens van Salesforce -objecten
- CVE-2025-43699 (CVSS -score: 5.3) – FlexCard handhaaft het veld ‘Vereiste machtigingen’ niet voor het omniulcard -object
- CVE-2025-43700 (CVSS -score: 7.5) – FlexCard handhaaft de toestemming van ‘View Codeed Data’ niet af en retourneert platte tekstwaarden voor gegevens die klassieke codering gebruiken
- CVE-2025-43701 (CVSS -score: 7.5) – Met FlexCard kunnen gastgebruikers toegang krijgen tot waarden voor aangepaste instellingen
Simpel gezegd, aanvallers kunnen deze problemen wapenen om beveiligingscontroles te omzeilen en gevoelige klant- of werknemersinformatie te extraheren.
Appomni zei dat CVE-2025-43967 en CVE-2025-43698 zijn aangepakt via een nieuwe beveiligingsinstelling genaamd “EnforcedMfLsandDataChryption” die klanten zullen moeten mogelijk maken om ervoor te zorgen dat alleen gebruikers met de “View gecodeerde gegevens” toestemming kunnen zien die de gewone tekstwaarde van velden weergeeft.
“Voor organisaties die onderhevig zijn aan nalevingsmandaten zoals HIPAA, GDPR, SOX of PCI-DSS, kunnen deze hiaten echte blootstelling aan regelgevende instanties vertegenwoordigen,” zei het bedrijf. “En omdat het de verantwoordelijkheid van de klant is om deze instellingen veilig te configureren, kan een enkele gemiste instelling leiden tot de inbreuk op duizenden records, zonder leveranciersverantwoordelijkheid.”
Toen hij werd bereikt voor commentaar, vertelde een woordvoerder van Salesforce The Hacker News dat een overgrote meerderheid van de problemen “voortkomt uit klantconfiguratieproblemen” en geen kwetsbaarheden zijn die inherent zijn aan de applicatie.
“Alle problemen die in dit onderzoek zijn geïdentificeerd, zijn opgelost, met patches die beschikbaar zijn gesteld voor klanten en officiële documentatie bijgewerkt om de volledige configuratiefunctionaliteit weer te geven,” zei het bedrijf. “We hebben geen bewijs waargenomen van uitbuiting in klantomgevingen als gevolg van deze problemen.”
De openbaarmaking komt als beveiligingsonderzoeker Tobia Righi, die de handgreep MasterSplinter gaat, heeft een Salesforce Object Query Language (SOQL) injectie -kwetsbaarheid bekendgemaakt die kan worden benut om toegang te krijgen tot gevoelige gebruikersgegevens.
De Zero-Day-kwetsbaarheid (geen CVE) bestaat in een standaard Aura-controller die aanwezig is in alle Salesforce-implementaties, die ontstaat als gevolg van een door de gebruiker gecontroleerde “ContentDocumentID” -parameter die onveilig is ingebed in “Aura: // CSVDataMporTRefamilyController/Action $ GetCSVAutomap” dat een route voor SOQL-inservectie is.
Succesvolle exploitatie van de fout kon aanvallers in staat hebben gesteld om extra query’s in te voegen via de parameter en de inhoud van de database. De exploit kan verder worden uitgebreid door een lijst met ID’s door te geven die gecorreleerd is met ContentDocument -objecten die niet openbaar zijn om informatie te verzamelen over geüploade documenten.
De ID’s, zei Righi, kunnen worden gegenereerd door middel van een publiek beschikbaar Brute-Force-script dat mogelijke eerdere of volgende Salesforce ID’s kan genereren op basis van een geldige invoer-ID. Dit wordt op zijn beurt mogelijk gemaakt vanwege het feit dat Salesforce -ID’s eigenlijk geen beveiligingsgrens bieden en eigenlijk enigszins voorspelbaar zijn.
“Zoals opgemerkt in het onderzoek, heeft ons beveiligingsteam na het ontvangen van het rapport onmiddellijk het probleem onderzocht en opgelost. We hebben geen bewijs waargenomen van exploitatie in klantomgevingen,” zei de woordvoerder van Salesforce. “We waarderen de inspanningen van Tobia om deze kwestie op verantwoorde wijze aan Salesforce op een verantwoorde manier bekend te maken, en we blijven de beveiligingsonderzoekgemeenschap aanmoedigen om potentiële kwesties te melden via onze gevestigde kanalen.”
