Siber güvenlik araştırmacıları, Salesforce Endüstri Bulutu’nu (diğer adıyla Salesforce Industries) etkileyen 20’den fazla yapılandırma ile ilgili risk ortaya çıkardılar ve hassas verileri yetkisiz iç ve dış partilere maruz bıraktılar.
Zayıf yönler flexcards, veri eşleştiricileri, entegrasyon prosedürleri (IPROC’lar), veri paketleri, omniout ve omniscript kaydedilmiş oturumlar gibi çeşitli bileşenleri etkiler.
Appomni SaaS Güvenlik Araştırma Şefi Aaron Costello, “Salesforce Industry Cloud gibi düşük kodlu platformlar bina uygulamalarını kolaylaştırıyor, ancak bu kolaylık, güvenlik öncelik verilmezse maliyetle gelebilir.” Dedi.
Bu yanlış yapılandırmalar, eklenmemişse, siber suçlulara izin verebilir ve yetkisiz çalışanlar ve müşteriler hakkında şifreli gizli verilere erişmesine izin verebilir, kullanıcıların Salesforce endüstrisi bulutu, Salesforce ve diğer şirket sistemleri için kimlik bilgileri ve iş mantığı ile nasıl etkileşim kurduğunu detaylandıran oturum verileri.
Sorumlu açıklamanın ardından Salesforce, eksikliklerin üçünü ele almış ve iki kişi için yapılandırma rehberliği yayınlamıştır. Kalan 16 yanlış yapılandırma, bunları kendi başlarına düzeltmek için müşterilere bırakıldı.
CVE tanımlayıcıları atanan güvenlik açıkları aşağıda listelenmiştir –
- CVE-2025-43697 (CVSS Puanı: N/A) – ‘Çıkarma’ ve ‘Turbo Extract Veri Mappers için’ Alan Seviyesi Güvenliğini Kontrol Edin ‘etkin değilse,’ Şifreli Verileri Görüntüle ‘İzin Kontrolü Uygulanmaz, Şifrelenmiş Alanlar için Belirgin Alan Değerlerini Belirtilen Bir Kayıt’a Erişimi olan Kullanıcılara Durdurur.
- CVE-2025-43698 (CVSS Puanı: N/A) – Salesforce nesnelerinden veri getirirken SOQL veri kaynağı herhangi bir alan düzeyinde güvenliği atlar
- CVE-2025-43699 (CVSS Puanı: 5.3) – Flexcard, Omniulcard nesnesi için ‘gerekli izinler’ alanını zorlamıyor
- CVE-2025-43700 (CVSS Puanı: 7.5) – Flexcard, ‘şifrelenmiş verileri görüntüleyin’ iznini uygulamıyor, klasik şifreleme kullanan veriler için düz metin değerlerini döndürüyor
- CVE-2025-43701 (CVSS Puanı: 7.5) – Flexcard, konuk kullanıcıların özel ayarlar için değerlere erişmesine izin verir
Basitçe söylemek gerekirse, saldırganlar güvenlik kontrollerini atlamak ve hassas müşteri veya çalışan bilgilerini çıkarmak için bu sorunları silahlandırabilir.
Appomni, CVE-2025-43967 ve CVE-2025-43698’in, müşterilerin yalnızca “görünüm şifreli veriler” izni olan kullanıcıların veri haritacının plaket değerini geri döndürülen plaket değerini görebileceklerini sağlamak için etkinleştirmeleri gereken yeni bir güvenlik ayarı aracılığıyla ele alındığını söyledi.
Şirket, “HIPAA, GDPR, SOX veya PCI-DSS gibi uyumluluk yetkililerine tabi kuruluşlar için, bu boşluklar gerçek düzenleyici maruziyeti temsil edebilir.” Dedi. Diyerek şöyle devam etti: “Ve bu ayarları güvenli bir şekilde yapılandırmak müşterinin sorumluluğu olduğundan, tek bir cevapsız ayar, satıcı hesap verebilirliği olmadan binlerce kaydın ihlaline yol açabilir.”
Yorum için ulaşıldığında, bir Salesforce sözcüsü Hacker News’e, sorunların büyük bir çoğunluğunun “müşteri yapılandırma sorunlarından kaynaklandığını” ve uygulamanın doğasında olan güvenlik açıkları olmadığını söyledi.
Şirket, “Bu araştırmada tanımlanan tüm sorunlar, müşteriler için mevcut yamalar ve resmi belgeler tam yapılandırma işlevselliğini yansıtacak şekilde güncellendi.” Dedi. Diyerek şöyle devam etti: “Bu sorunların bir sonucu olarak müşteri ortamlarında herhangi bir sömürü kanıtı gözlemlemedik.”
Açıklama, Handle Mastersplinter tarafından geçen güvenlik araştırmacısı Tobia Righi, hassas kullanıcı verilerine erişmek için kullanılabilecek bir Salesforce Nesne Sorgu Dili (SOQL) enjeksiyon güvenlik açığını açıkladı.
Tüm Salesforce dağıtımlarında bulunan varsayılan bir Aura denetleyicisinde sıfır gün güvenlik açığı (CVE yok), “aura: // csvdataimportresourcefamilyconController/Action $ Getcsing Pathway için Pathway’e güvensiz bir şekilde gömülü olan kullanıcı kontrollü bir” ContentDocumentInId “parametresi sonucunda ortaya çıkar.
Kusurun başarılı bir şekilde kullanılması, saldırganların parametre üzerinden ek sorgular eklemesini ve veritabanı içeriğini çıkarmasını sağlayabilir. İstismar, yüklenen belgeler hakkında bilgi toplamak için halka açık olmayan ContentDocument nesneleri ile ilişkili bir kimlik listesi geçerek daha da artırılabilir.
Righi, IDS’nin, geçerli bir giriş kimliğine dayanarak önceki veya bir sonraki Salesforce kimliklerini oluşturabilen kamuya açık bir kaba kuvvet komut dosyası aracılığıyla oluşturulabileceğini söyledi. Bu da, Salesforce IDS’nin aslında bir güvenlik sınırı sağlamaması ve aslında biraz tahmin edilebilir olması nedeniyle mümkün olmuştur.
Salesforce sözcüsü, “Araştırmada belirtildiği gibi, raporu aldıktan sonra, güvenlik ekibimiz sorunu derhal araştırdı ve çözdü. Müşteri ortamlarında herhangi bir sömürü kanıtı gözlemlemedik.” Dedi. Diyerek şöyle devam etti: “Tobia’nın bu sorunu Salesforce’a sorumlu bir şekilde ifşa etme çabalarını takdir ediyoruz ve güvenlik araştırma topluluğunu potansiyel sorunları yerleşik kanallarımız aracılığıyla bildirmeye teşvik etmeye devam ediyoruz.”