Salesforce CLI yükleyicisinde (SF-X64.exe) kritik bir güvenlik açığı, saldırganların Windows sistemlerinde keyfi kod yürütme, ayrıcalık artış ve sistem düzeyinde erişim elde etmelerini sağlar.
CVE-2025-9844 olarak izlenen kusur, yükleyici tarafından yürütülebilir dosya yollarının uygunsuz kullanımı, yazılım güvenilmeyen kaynaklardan elde edildiğinde kötü niyetli dosyaların meşru ikili dosyalar yerine yürütülmesine izin verir.
Yol kaçırma güvenlik açığı (CVE-2025-9844)
Güvenlik açığı, Salesforce-Cli yükleyicisinin kurulum sırasında dosya yollarını nasıl çözdüğünü kullanır. SF-X64.exe çalıştığında, yükleyiciyi içeren dizine geri dönmeden önce geçerli çalışma dizininden birkaç yardımcı yürütülebilir ve DLL yükler.
Aynı klasörde aynı şekilde meşru bir bileşene (örneğin, sf-autoupdate.exe.exe veya sf-config.dll) aynı adlı hazırlanmış bir yürütülebilir dosyayı yerleştiren bir saldırgan, yükleyicinin saldırganın kodunu yüklemesine ve yürütmesine neden olabilir.
Yükleyici varsayılan olarak yükseltilmiş ayrıcalıklarla çalıştığından, HKLM altında kayıt defteri anahtarları yazdığından ve yerel sistem altında hizmetler oluşturduğundan, enjekte edilen kod sistem düzeyinde ayrıcalıkları devralarak ana makinenin tamamen devralınmasını sağlıyor.
Yürütme üzerine, yükleyici, yerel sistem hesabı altında bir ters kabuk hizmeti oluşturarak ayrıcalıkları artıran Rogue sf-autoupdate.exe’yi yükler. Saldırgan daha sonra komutları yürütmek için kabuğu kullanır ve sistem düzeyinde çıktıyı başarıyla alır.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Salesforce CLI yükleyicisi (SF-X64.exe) Sürümler <2.106.6 |
| Darbe | Keyfi kod yürütme; Sistem düzeyinde erişime ayrıcalık artışı |
| Önkoşuldan istismar | Güvenilmeyen kaynaktan elde edilen yükleyici; Saldırgan, yükleyicinin çalışma dizinine kötü amaçlı yürütülebilir dosyaları yerleştirir; Yükleyici Yüksek ayrıcalıklarla çalıştırma |
| CVSS 3.1 puanı | 7.8 (Yüksek) |
Etkilenen versiyonlar ve hafifletme
2.106.6’dan önceki tüm Salesforce-CLI sürümleri bu yoldan kaçan güvenlik açığından etkilenir.
Daha da önemlisi, yalnızca CLI’yi güvenilmeyen aynalardan veya üçüncü taraf depolarından yükleyen kullanıcılar risk altındadır; Resmi Salesforce sitesi aracılığıyla doğrudan indirilen kurulumlar, katı yol çözünürlüğü ve bütünlük kontrollerini uygulayan imzalı bir yükleyici kullanır.
Düzeltmek için, etkilenen kullanıcılar, doğrulanmamış kaynaklardan elde edilen CLI sürümünü derhal kaldırmalı ve bilinmeyen yürütülebilir ürünler veya şüpheli hizmetler için kapsamlı bir sistem taraması yapmalıdır.
Salesforce, sorunu sabit kodlayan mutlak dosya yolları ve tamamlayıcı yürütülebilir yüklenmeden önce dijital imzaları doğrulayan sorunu çözen 2.106.6 sürümünü yayınladı.
Yöneticilere yalnızca güvenilir uç noktalardan kurulumu uygulamaları ve Microsoft Defender Uygulama Kontrolü (MDAC) politikalarının kurulum dizinlerinde yetkisiz ikili dosyaların yürütülmesini kısıtlamalarını sağlaması önerilir.
Standart olmayan yollar altında beklenmedik hizmet oluşturma veya yükleyici yürütme için sistem olay günlüklerinin sürekli izlenmesi, istismar girişimlerinin erken tespit edilmesine yardımcı olacaktır.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
