Güvenlik araştırma firması Appomni tarafından yapılan yeni bir soruşturma, Salesforce’un endüstri bulut ürünlerinde yirmiden fazla güvenlik zayıflığını ortaya çıkardı. Hackread.com ile paylaşılan bu bulgular, yüksek riskli bir derecelendirme verilen sıfır günleri olarak bilinen birkaç kritik, daha önce bilinmeyen güvenlik açıklarını içerir.
Appomni’nin SaaS güvenlik araştırmaları şefi Aaron Costello liderliğindeki araştırma, kullanıcıların basit kurulum hatalarının hassas bilgileri nasıl ortaya çıkarabileceğini ve ciddi güvenlik sorunlarına yol açabileceğini vurgulamaktadır.
Bilgileriniz için Salesforce endüstrisi bulutları, sağlık, finans ve telekomünikasyon gibi alanlardaki işletmelerin derin teknik becerileri olmayanlar için bile özel çözümler oluşturmasına yardımcı olmak için tasarlanmıştır. Bu düşük kod yaklaşımı gelişimi hızlı hale getirir, ancak aynı zamanda kullanıcıların platformu güvenli bir şekilde ayarlama sorumluluğuna sahip olduğu anlamına gelir.
Costello’nun araştırması, temel ayarların ve ortak ancak güvenli olmayan uygulamaların şifrelenmiş verilere yetkisiz erişim sağlayabileceğini, oturumun çalınmasını sağlayabileceğini ve giriş detaylarını ve iş bilgilerini açığa çıkarabileceğini ortaya koydu.
Kritik güvenlik açıklarından beşine CVE’ler (ortak güvenlik açıkları ve maruziyetler) atanmıştır, üçü zaten sabit ve iki tanesi müşterilerden çözmek için harekete geçmiştir. On altı diğer kurulum riskleri müşterinin düzeltme sorumluluğu olmaya devam etmektedir.
Riskleri Anlamak
Bulunan güvenlik sorunları, esnek kartlar, veri haritacıları ve entegrasyon prosedürleri gibi Salesforce’un önemli bölümlerini etkiler. Bu bileşenler, platform içindeki verileri işlemek ve görüntülemek için kullanılır. Örneğin, bulunan bazı sorunlar, doğru izinleri olmayan kişilerin şifreli verileri görmesine veya güvenlik kontrollerini atlamasına izin verebilir.
Bu, isimler, adresler, finansal kayıtlar ve hatta sağlık verileri gibi hassas bilgilerin risk altında olabileceği anlamına gelir. Saldırganlar ayrıca giriş bilgilerini çalabilir ve potansiyel olarak diğer şirket sistemlerine erişebilir.
Spesifik olarak, flexcards ve veri haritalarında beş ciddi güvenlik açığı (CVE-2025-43697, CVE-2025-43698, CVE-2025-2025-43699, CVE-2025-43700 ve CVE-2025-43701) tanımlandı. Bunlardan dördü yüksek şiddet olarak derecelendirilmiştir.
Veri haritacısında bulunan bir güvenlik açığı olan CVE-2025-43697, düzgün bir şekilde ele alınmazsa şifrelenmiş bilgileri ortaya çıkarabilir. Flexcard güvenlik açıkları, alan düzeyindeki güvenliğin göz ardı edilebileceği sorunları (CVE-2025-43698), gerekli izinler atlanabilir (CVE-2025-43699), şifrelenmemiş veriler (CVE-2025-43700) tarafından görülebilir (CVE-2025-43700) ve özel ayar verileri maruz bırakılabilir (CVE2025) (CVE2025) (CVE2025) (CVE -2025) (CVE2025).
Müşteri eylemi anahtardır
Appomni müşterilerinin yaklaşık dörtte biri Salesforce endüstri bulutlarını kullanıyor ve bu bulguların yaygın etkisini vurguluyor. Bu hizmetleri kullanan kuruluşlar, yapılandırmalarını derhal incelemek ve güvence altına almak için çok önemlidir.
Salesforce bu sorunları ele almak için Appomni ile çalıştı. Salesforce bazı sorunlar için düzeltmeler yapmış olsa da, belirlenen risklerin çoğu müşterilerin ayarlarında belirli değişiklikler yapmasını gerektirir. Bu yaklaşım, saldırganların bu zayıflıklardan yararlanmasını önlemek için hayati önem taşır. Appomni ayrıca müşterilerin Salesforce Industry bulut kurulumlarındaki bu yanlış yapılandırmaları tespit etmelerine yardımcı olacak araçlar yayınladı.
Appomni SaaS Güvenlik Araştırma Şefi Aaron Costello, SaaS uygulamalarında daha iyi güvenlik uygulamalarına duyulan ihtiyacı vurguladı ve yanlış yapılandırılmış SaaS uygulamalarının önemli ama sıklıkla gözden kaçan bir risk olduğunu belirtti.
Costello, “Araştırmam basit yanlış yapılandırmaların sadece endüstri bulutunda değil, bir kuruluşun tüm Salesforce ortamında nasıl ciddi riskler yaratabileceğini vurgulamaktadır. Bu riskleri anlayarak ve en iyi uygulamaları uygulayarak, şirketler kendilerini gereksiz tehditlere maruz bırakmadan endüstri bulutun yeteneklerinden tamamen yararlanabilir.