Salesforce行业云配置存在严重安全风险
创始人
2025-06-18 07:02:09
0

安全研究人员发现,Salesforce行业云客户很容易在部署配置中出现错误,这些错误配置可能导致攻击者获取加密客户信息、会话数据、凭证和业务逻辑的访问权限。

Salesforce行业云是一套面向垂直行业的解决方案套件,包含一个低代码平台,为金融服务和制造业等特定行业提供预构建的数字化转型工具。

AppOmni公司SaaS安全研究主管Aaron Costello在一份报告中指出,低代码工具面向非开发人员,可以让"非技术用户构建涉及关键系统和敏感客户及内部数据的业务逻辑"。该报告识别出了Salesforce行业云OmniStudio低代码产品存在的20个配置风险。

Costello指出:"但这种赋能在安全方面可能付出代价,大幅增加了客户配置错误的风险。这种灵活性和隐式信任的结合意味着,客户配置错误一个组件或忽略一个设置,就可能导致系统范围的数据泄露。"

Costello和AppOmni识别出的风险包括:

- 低代码组件默认不执行访问控制检查或不遵守加密数据字段 - 工作流代码可被外部或未认证用户执行 - 缓存机制可能导致访问控制被绕过 - 开发不当的离线平台应用程序可能导致API令牌被盗 - 敏感API密钥和其他数据直接嵌入组件中,无需权限即可读取 - 保存工作流的权限设置不安全

在AppOmni识别的20个配置风险中,Salesforce已针对5个问题发布了CVE和指导建议,其余风险则留给客户自行避免。

Salesforce发布五个CVE

Salesforce发布的五个CVE涉及OmniStudio的FlexCards和数据映射器组件中发现的问题。Salesforce于5月19日就这些问题通知了客户。

FlexCards从Salesforce和第三方源获取数据用于工作流或在面向客户的Web视图中显示,占了四个CVE:

- CVE-2025-43698:SOQL数据源忽略字段级安全(FLS),暴露记录的所有字段数据 - CVE-2025-43699:"必需权限"字段可被绕过,因为检查在客户端执行 - CVE-2025-43700:未强制执行"查看加密数据"权限,向未授权用户返回使用经典加密数据的明文值 - CVE-2025-43701:允许访客用户访问自定义设置的值

数据映射器是FlexCards数据源的可选功能,也可作为后端集成程序(IProcs)的一部分用于服务器端数据处理。数据映射器读取并转换数据为适合API或Salesforce对象使用的格式。

Costello发现,四种数据映射器类型中的两种——提取和涡轮提取——默认不强制执行FLS,并向没有查看权限的用户返回加密值的明文数据。Salesforce为此问题分配了CVE-2025-43697。

其他配置风险

另外15种配置模式也可能对Salesforce行业云客户产生严重安全影响。

例如,数据映射器和IProc元数据使用称为规模缓存的机制进行缓存,以加速未来执行。虽然用户需要配置共享规则才能执行数据映射器或IProcs,但Costello发现,一旦被缓存,这些组件就可以被任何用户执行,无论其权限如何。

Costello表示:"不幸的是,没有配置设置允许在使用规模缓存的同时遵守数据映射器安全控制。经过彻底测试,包括启用CheckCachedMetadataRecordSecurity OmniStudio设置,发现为数据映射器强制执行授权检查的唯一方法是完全关闭规模缓存。"

集成程序也不遵守"必需权限"设置,也不遵守它们作为操作的一部分调用的任何数据映射器或其他IProc的共享规则。虽然Salesforce记录了这种行为,但风险极高,因为用户只需满足初始IProc的访问控制即可调用其流程中涉及的任何数据映射器或IProc。

另一个常见配置风险涉及HTTP操作,这些操作通常用作IProcs的一部分与外部API通信。如果这些API需要认证,组织可能决定将用户名密码或API访问令牌直接硬编码到IProc主体中。任何能够执行IProc的人也能看到其中存储的硬编码值。在许多情况下,这包括可以在调试模式下执行IProcs的外部用户甚至访客用户。

FlexCards和IProcs支持称为远程操作的数据源类型,允许执行Apex类。Apex是Salesforce类似Java的面向对象语言,用于在其平台上构建应用程序。

当OmniStudio组件尝试通过远程操作执行Apex类时,请求通过BusinessProcessDisplayController Apex类代理,该类包含GenericInvoke2NoCont方法。此方法不验证调用用户是否有权访问远程操作。

Costello表示:"这导致授权绕过,可能允许内部和外部用户执行强大的Apex代码,这些代码在不共享的情况下运行或未实现FLS等安全措施。这是默认行为。"

另一个可能产生敏感信息泄露的功能是数据包,它可以向其他Salesforce实例导出和导入组件。此功能以JSON定义文件的形式留下工件,这些文件可能包含依赖对象,如进一步包含数据映射器的IProcs。

Costello说:"对此对象具有读取访问权限且共享规则过于宽泛的用户将能够下载存储在'附件'sObject中的数据包组件JSON文件。值得注意的是,由于这些附件仅依赖于对OmniDataPack的'Id'字段的访问检查,用户无需对'OmniDataPack'sObject的任何字段级权限即可访问这些文件,只需要对象和共享规则级别的权限。"

数据包也可能变成孤立的,例如,如果创建它们的用户在过程中按下取消按钮。在这种情况下,它们的附件被创建但从未被删除。更糟糕的是,它们不会在OmniStudio的数据包清单页面上列出,这使管理员更难发现它们。

当嵌入外部网站时,FlexCard或Omni组件需要访问令牌来访问Salesforce。这些令牌必须使用OmniOut应用程序创建。然而,网站终端用户可以在浏览器中本地检查API请求并提取此令牌,然后滥用。Costello建议公司在外部OmniStudio组件和Salesforce之间的通信中使用代理。

然而,当令牌本身嵌入已被泄露或存储在GitHub等公共版本控制系统中的OmniOut代码时,代理也无济于事。此外,如果代理配置不当,在没有验证的情况下转发请求,也可能引入风险,因为用户可能尝试篡改参数和值。

研究人员指出:"由于OmniOut通常依赖经过认证的Salesforce API,这个账户要求通过为OmniOut组件提供连接应用访问令牌来满足,该令牌将用于代表所有外部用户发出请求。虽然详述连接应用创建过程的Salesforce文档中没有明确说明,但组织绝不应为OmniOut生成绑定到系统管理员等特权账户的访问令牌,这一点至关重要。"

最后,Omnis通过IProcs、数据映射器和FlexCards将多个后端操作结合在一起,具有称为保存会话的功能,允许用户保存进度并稍后返回脚本。生成此类会话时,会在Omni保存会话sObject中创建记录,以及脚本输入或返回的任何数据,直到被保存。默认情况下,这些保存的会话没有过期时间。

研究人员发现:"虽然访客和/或社区站点用户无法保存自己的会话,但这并不阻止他们在被授予权限的情况下读取其他用户会话的数据,使这种攻击向量成为内部和外部身份都可能利用的风险。"

缓解措施

对于Salesforce尚未修复的不安全配置,AppOmni在其论文中提供了缓解建议,包括应定期审计其对象、字段和共享规则配置的对象列表。该公司表示,将OmniStudio sObjects及其记录的访问级别降至仅必要级别是第一道防线。

相关内容

热门资讯

国内外4个实用的二维码生成器分... 国内外 4 个实用的二维码生成器分享 在数字化信息飞速传播的当下,二维码作为一种高效的数据存储与传递...
原创 烈... 日前,中国航天科技集团自主研发的捷龙三号固体运载火箭成功点火升空,将吉利星座 04 组卫星精准送入预...
洁美毛刷取得一种骑行手机支架专... 金融界2025年8月22日消息,国家知识产权局信息显示,东莞市洁美毛刷制品有限公司取得一项名为“一种...
微短剧出海,“长优”才能“长红... 汪闻婕 中国微短剧出海有多火? 数据显示,2025年第一季度全球超2.7亿人次下载中国短剧APP,比...
特发信息光电取得杆用固定金具专... 金融界2025年8月22日消息,国家知识产权局信息显示,深圳市特发信息光电技术有限公司取得一项名为“...
艾华集团:暂未有超级电容业务 金融界8月22日消息,有投资者在互动平台向艾华集团提问:“董秘好!AI算力服务具有‘削峰+备用电源’...
视源股份获得实用新型专利授权:... 证券之星消息,根据天眼查APP数据显示视源股份(002841)新获得一项实用新型专利授权,专利名为“...
全球最畅销商业客机桂冠将易主,... 文|李奥 在全球航空产业的庞大版图中,空客A320系列和波音737系列无疑占据着举足轻重的地位,它们...
华北铝业取得一种刀轴变形矫正装... 金融界2025年8月22日消息,国家知识产权局信息显示,华北铝业新材料科技有限公司取得一项名为“一种...
爱智存申请系统评估优化方法等专... 金融界2025年8月22日消息,国家知识产权局信息显示,广东爱智存科技有限公司申请一项名为“系统评估...
青苗网评|“AI克隆”横行,孩... 刷脸支付、AI视频、智能管家等听起来“高大上”的科技确实让生活更便利,但与此同时,AI伪造的“假脸”...
AI概念股早盘走高,科创人工智... AI概念股早盘走高,寒武纪(8459.HK)-U涨超11%,芯原股份涨超9%,澜起科技、恒玄科技、复...
vivo拿出了一个60分的产品... 记者 陈月芹 8月21日,赶在公司成立30周年的节点,vivo抢先发布混合现实(MR)头显探索版vi...
上海元宇宙产业链已集聚数百家企... 来源:澎湃新闻 上海持续推动元宇宙技术发展。 8月22日,澎湃新闻(www.thepaper.cn...
欧康维视生物-B:OT-301... 8月21日,欧康维视生物-B(01477)发布公告,本公司在其第二项III期临床试验OT-301(N...
网龙多位专家受邀出席全球教育盛... 8月18日至20日,2025全球智慧教育大会在北京举办。本次大会由北京师范大学和联合国教科文组织教育...
点燃“Z世代”科普热情!202... 深圳商报·读创客户端驻穗记者 姚嘉莉 通讯员 李早花 张莉 8月22日,由广东省科学技术厅、广东省教...
坦白现金流状况、押注平台生态,... 来源:第一财经日报 这一次,智元打了明牌。 在独立商城公布了几乎全线产品的价格之后,智元机器人又在上...
东旭科技取得太阳能板自动清洁系... 金融界2025年8月22日消息,国家知识产权局信息显示,东旭科技集团有限公司取得一项名为“一种太阳能...
原创 英... 美国在AI芯片上的动作越来越密,英伟达首当其冲。 市场表面平静,底下却暗流汹涌。 有人欢喜,有人焦虑...