Los investigadores de ciberseguridad han descubierto más de 20 riesgos relacionados con la configuración que afectan a Salesforce Industry Cloud (asimismo conocido como Industries de Salesforce), exponiendo datos confidenciales a partes internas y externas no autorizadas.
Las debilidades afectan a varios componentes como tarjetas flexibles, mapeadores de datos, procedimientos de integración (IPROC), paquetes de datos, omniout y sesiones guardadas de Omniscript.
«Las plataformas de bajo código, como Salesforce Industry Cloud, facilitan las aplicaciones de construcción, pero esa conveniencia puede tener un costo si la seguridad no se prioriza», dijo Aaron Costello, presidente de investigación de seguridad SaaS en AppOmni, en un comunicado compartido con The Hacker News.
Estas configuraciones erróneas, si no se abordan, podrían permitir que los ciberdelincuentes y no autorizados accedan a datos confidenciales cifrados a los empleados y clientes, los datos de la sesión que detallan cómo los usuarios han interactuado con Salesforce Industry Cloud, credenciales para Salesforce y otros sistemas de empresas, y dialéctica empresarial.
A posteriori de la divulgación responsable, Salesforce ha abordado tres de las deficiencias y la piloto de configuración emitida para otros dos. Las 16 configuraciones erróneas restantes se han dejado a los clientes para arreglarlos por su cuenta.
Las vulnerabilidades a las que se les ha asignado identificadores CVE se enumeran a continuación –
- CVE-2025-43697 (Puntuación CVSS: N/A) – Si la «seguridad de nivel de campo de comprobación ‘no está competente para’ extraer ‘y’ Turbo Extract Mappers de datos, la comprobación de permiso ‘Ver datos cifrados’ no se aplica, lo que expone títulos de ClearText para los campos cifrados a los usuarios con ataque a un registro entregado a un registro entregado.
- CVE-2025-43698 (Puntuación CVSS: N/A) – La fuente de datos de SOQL omite cualquier seguridad a nivel de campo al obtener datos de los objetos de Salesforce
- CVE-2025-43699 (Puntuación CVSS: 5.3) – FlexCard no impone el campo de ‘permisos requeridos’ para el objeto Omniulcard
- CVE-2025-43700 (Puntuación CVSS: 7.5) – FlexCard no impone el permiso ‘Ver datos cifrados’, devolviendo los títulos de texto sin formato para los datos que usan el secreto clásico
- CVE-2025-43701 (Puntuación CVSS: 7.5) – FlexCard permite a los usuarios invitados consentir a títulos para configuraciones personalizadas
En pocas palabras, los atacantes pueden armarse estos problemas para evitar controles de seguridad y extraer información confidencial de clientes o empleados.
AppOmni dijo que CVE-2025-43967 y CVE-2025-43698 se han abordado a través de una nueva configuración de seguridad citación «ForcedMflSandDataEncryption» que los clientes deberán habilitar solo que los usuarios con el permiso de «Aspecto de datos cifrados» puedan ver el valencia de texto que no sean los campos devueltos por los datos de los datos.
«Para las organizaciones sujetas a mandatos de cumplimiento como HIPAA, GDPR, SOX o PCI-DSS, estas brechas pueden representar una exposición regulatoria positivo», dijo la compañía. «Y adecuado a que es responsabilidad del cliente configurar de forma segura estas configuraciones, una sola configuración perdida podría conducir a la incumplimiento de miles de registros, sin responsabilidad del proveedor».
Cuando se le contactó para hacer comentarios, un portavoz de Salesforce le dijo a The Hacker News que la gran mayoría de los problemas «provienen de problemas de configuración del cliente» y no son vulnerabilidades inherentes a la aplicación.
«Todos los problemas identificados en esta investigación se han resuelto, con parches disponibles para los clientes y la documentación oficial actualizada para reflectar la funcionalidad de configuración completa», dijo la compañía. «No hemos observado ninguna evidencia de explotación en entornos de clientes como resultado de estos problemas».
La divulgación se produce cuando la investigadora de seguridad Tobia Righi, que pasa por el Manter Mastersplinter, reveló una vulnerabilidad de inyección de Inyección de Estilo de Consulta de Objetos de Salesforce (SOQL) que podría explotarse para consentir a los datos del beneficiario confidenciales.
La vulnerabilidad del día cero (sin CVE) existe en un regulador Aura predeterminado presente en todas las implementaciones de Salesforce, que surgen como resultado de un parámetro «ContentDocumentDocumentID» controlado por el beneficiario que está integrado de modo inalcanzada en «aura: // csvdataimortresourcefamilyController/Action $ getcsvautomap» que crea un patrón de Soql.
La explotación exitosa de la equivocación podría acontecer permitido a los atacantes insertar consultas adicionales a través del parámetro y extraer contenido de la colchoneta de datos. La exploit podría aumentar aún más al aprobar una serie de ID correlacionadas con los objetos ContentDocument que no son públicos para compendiar información sobre documentos cargados.
Las IDS, dijo Righi, pueden generarse mediante un raya de fuerza bruta habitable públicamente que puede originar posibles ID de Salesforce anteriores o próximos en función de una ID de entrada válida. Esto, a su vez, es posible adecuado al hecho de que las ID de Salesforce en efectividad no proporcionan un coto de seguridad y en efectividad son poco predecibles.
«Como se señaló en la investigación, luego de acoger el crónica, nuestro equipo de seguridad investigó y resolvió el problema. No hemos observado ninguna evidencia de explotación en entornos de clientes», dijo el portavoz de Salesforce. «Apreciamos los esfuerzos de Tobia para revelar de modo responsable este problema a Salesforce, y continuamos alentando a la comunidad de investigación de seguridad a informar posibles problemas a través de nuestros canales establecidos».
