Rischi di configurazione scoperti nel Salesforce Industry Cloud
I ricercatori di cybersecurity hanno individuato oltre 20 rischi legati alla configurazione che interessano il Salesforce Industry Cloud, esponendo dati sensibili a parti interne ed esterne non autorizzate. Queste vulnerabilità riguardano diversi componenti come FlexCards, Data Mappers, Integration Procedures (IProcs), Data Packs, OmniOut e OmniScript Saved Sessions.
“Le piattaforme low-code come Salesforce Industry Cloud semplificano la creazione di applicazioni, ma questa comodità può avere un costo se la sicurezza non è una priorità,” ha dichiarato Aaron Costello, capo della ricerca sulla sicurezza SaaS presso AppOmni.
Queste configurazioni errate, se non affrontate, potrebbero consentire ai cybercriminali e agli utenti non autorizzati di accedere a dati riservati crittografati su dipendenti e clienti, dati di sessione che dettagliano come gli utenti hanno interagito con Salesforce Industry Cloud, credenziali per Salesforce e altri sistemi aziendali, e logiche di business.
Dopo una divulgazione responsabile, Salesforce ha risolto tre delle carenze e ha emesso linee guida di configurazione per altre due. Le restanti 16 configurazioni errate sono state lasciate ai clienti per essere risolte autonomamente.
Vulnerabilità assegnate con identificatori CVE
Le vulnerabilità che sono state assegnate con identificatori CVE includono:
- CVE-2025-43697 – Se ‘Check Field Level Security’ non è abilitato per ‘Extract’ e ‘Turbo Extract Data Mappers’, il controllo del permesso ‘View Encrypted Data’ non viene applicato, esponendo valori in chiaro per i campi crittografati agli utenti con accesso a un determinato record.
- CVE-2025-43698 – La fonte dati SOQL bypassa qualsiasi sicurezza a livello di campo quando recupera dati dagli oggetti Salesforce.
- CVE-2025-43699 – Flexcard non applica il campo ‘Required Permissions’ per l’oggetto OmniUlCard.
- CVE-2025-43700 – Flexcard non applica il permesso ‘View Encrypted Data’, restituendo valori in chiaro per i dati che utilizzano la crittografia classica.
- CVE-2025-43701 – FlexCard consente agli utenti ospiti di accedere ai valori per le impostazioni personalizzate.
AppOmni ha dichiarato che CVE-2025-43967 e CVE-2025-43698 sono stati affrontati attraverso una nuova impostazione di sicurezza chiamata “EnforceDMFLSAndDataEncryption” che i clienti dovranno abilitare per garantire che solo gli utenti con il permesso “View Encrypted Data” possano vedere il valore in chiaro dei campi restituiti dal Data Mapper.
“Per le organizzazioni soggette a mandati di conformità come HIPAA, GDPR, SOX o PCI-DSS, queste lacune possono rappresentare una vera esposizione normativa,” ha affermato l’azienda. “E poiché è responsabilità del cliente configurare in modo sicuro queste impostazioni, una singola impostazione mancata potrebbe portare alla violazione di migliaia di record, senza alcuna responsabilità del fornitore.”
Fonte: The Hackers News
