Los investigadores de ciberseguridad han descubierto más de 20 riesgos relacionados con la configuración que afectan a Salesforce Industry Cloud (igualmente conocido como Industries de Salesforce), exponiendo datos confidenciales a partes internas y externas no autorizadas.
Las debilidades afectan a varios componentes como tarjetas flexibles, mapeadores de datos, procedimientos de integración (IPROC), paquetes de datos, omniout y sesiones guardadas de Omniscript.
“Las plataformas de bajo código, como Salesforce Industry Cloud, facilitan las aplicaciones de construcción, pero esa conveniencia puede tener un costo si la seguridad no se prioriza”, dijo Aaron Costello, dirigente de investigación de seguridad SaaS en AppOmni, en un comunicado compartido con The Hacker News.
Estas configuraciones erróneas, si no se abordan, podrían permitir que los ciberdelincuentes y no autorizados accedan a datos confidenciales cifrados a los empleados y clientes, los datos de la sesión que detallan cómo los usuarios han interactuado con Salesforce Industry Cloud, credenciales para Salesforce y otros sistemas de empresas, y método empresarial.
A posteriori de la divulgación responsable, Salesforce ha abordado tres de las deficiencias y la lazarillo de configuración emitida para otros dos. Las 16 configuraciones erróneas restantes se han dejado a los clientes para arreglarlos por su cuenta.
Las vulnerabilidades a las que se les ha asignado identificadores CVE se enumeran a continuación –
- CVE-2025-43697 (Puntuación CVSS: N/A) – Si la “seguridad de nivel de campo de demostración ‘no está autorizado para’ extraer ‘y’ Turbo Extract Mappers de datos, la demostración de permiso ‘Ver datos cifrados’ no se aplica, lo que expone títulos de ClearText para los campos cifrados a los usuarios con comunicación a un registro legado a un registro legado.
- CVE-2025-43698 (Puntuación CVSS: N/A) – La fuente de datos de SOQL omite cualquier seguridad a nivel de campo al obtener datos de los objetos de Salesforce
- CVE-2025-43699 (Puntuación CVSS: 5.3) – FlexCard no impone el campo de ‘permisos requeridos’ para el objeto Omniulcard
- CVE-2025-43700 (Puntuación CVSS: 7.5) – FlexCard no impone el permiso ‘Ver datos cifrados’, devolviendo los títulos de texto sin formato para los datos que usan el secreto clásico
- CVE-2025-43701 (Puntuación CVSS: 7.5) – FlexCard permite a los usuarios invitados ingresar a títulos para configuraciones personalizadas
En pocas palabras, los atacantes pueden armarse estos problemas para evitar controles de seguridad y extraer información confidencial de clientes o empleados.
AppOmni dijo que CVE-2025-43967 y CVE-2025-43698 se han abordado a través de una nueva configuración de seguridad llamamiento “ForcedMflSandDataEncryption” que los clientes deberán habilitar solo que los usuarios con el permiso de “Pinta de datos cifrados” puedan ver el valencia de texto que no sean los campos devueltos por los datos de los datos.
“Para las organizaciones sujetas a mandatos de cumplimiento como HIPAA, GDPR, SOX o PCI-DSS, estas brechas pueden representar una exposición regulatoria actual”, dijo la compañía. “Y conveniente a que es responsabilidad del cliente configurar de forma segura estas configuraciones, una sola configuración perdida podría conducir a la incumplimiento de miles de registros, sin responsabilidad del proveedor”.
Cuando se le contactó para hacer comentarios, un portavoz de Salesforce le dijo a The Hacker News que la gran mayoría de los problemas “provienen de problemas de configuración del cliente” y no son vulnerabilidades inherentes a la aplicación.
“Todos los problemas identificados en esta investigación se han resuelto, con parches disponibles para los clientes y la documentación oficial actualizada para reflectar la funcionalidad de configuración completa”, dijo la compañía. “No hemos observado ninguna evidencia de explotación en entornos de clientes como resultado de estos problemas”.
La divulgación se produce cuando la investigadora de seguridad Tobia Righi, que pasa por el Manter Mastersplinter, reveló una vulnerabilidad de inyección de Inyección de Lengua de Consulta de Objetos de Salesforce (SOQL) que podría explotarse para ingresar a los datos del heredero confidenciales.
La vulnerabilidad del día cero (sin CVE) existe en un regulador Aura predeterminado presente en todas las implementaciones de Salesforce, que surgen como resultado de un parámetro “ContentDocumentDocumentID” controlado por el heredero que está integrado de guisa inalcanzada en “aura: // csvdataimortresourcefamilyController/Action $ getcsvautomap” que crea un patrón de Soql.
La explotación exitosa de la falta podría ocurrir permitido a los atacantes insertar consultas adicionales a través del parámetro y extraer contenido de la pulvínulo de datos. La exploit podría aumentar aún más al aprobar una relación de ID correlacionadas con los objetos ContentDocument que no son públicos para resumir información sobre documentos cargados.
Las IDS, dijo Righi, pueden generarse mediante un banderín de fuerza bruta adecuado públicamente que puede suscitar posibles ID de Salesforce anteriores o próximos en función de una ID de entrada válida. Esto, a su vez, es posible conveniente al hecho de que las ID de Salesforce en sinceridad no proporcionan un margen de seguridad y en sinceridad son poco predecibles.
“Como se señaló en la investigación, posteriormente de aceptar el noticia, nuestro equipo de seguridad investigó y resolvió el problema. No hemos observado ninguna evidencia de explotación en entornos de clientes”, dijo el portavoz de Salesforce. “Apreciamos los esfuerzos de Tobia para revelar de guisa responsable este problema a Salesforce, y continuamos alentando a la comunidad de investigación de seguridad a informar posibles problemas a través de nuestros canales establecidos”.
