網(wǎng)絡(luò)安全研究公司AppOmni近期調(diào)查發(fā)現(xiàn)，Salesforce行業(yè)云(Industry Cloud)產(chǎn)品存在二十余項(xiàng)安全缺陷。據(jù)Hackread.com獲得的報(bào)告顯示，其中包括多個(gè)此前未知的高危漏洞（即零日漏洞）。

這項(xiàng)由AppOmni首席SaaS安全研究員Aaron Costello主導(dǎo)的研究指出，用戶(hù)簡(jiǎn)單的配置錯(cuò)誤就可能導(dǎo)致敏感信息泄露，引發(fā)嚴(yán)重安全問(wèn)題。

Salesforce行業(yè)云旨在幫助醫(yī)療、金融和電信等行業(yè)的企業(yè)快速構(gòu)建定制解決方案，即使缺乏深厚技術(shù)背景的用戶(hù)也能使用。這種低代碼開(kāi)發(fā)方式雖然便捷，但也要求用戶(hù)必須確保平臺(tái)配置安全。

漏洞風(fēng)險(xiǎn)分析

研究發(fā)現(xiàn)，基礎(chǔ)設(shè)置和常見(jiàn)的不安全操作可能導(dǎo)致加密數(shù)據(jù)遭未授權(quán)訪問(wèn)、會(huì)話劫持，以及登錄憑證和商業(yè)信息泄露。其中五個(gè)高危漏洞已分配CVE編號(hào)（通用漏洞披露），三個(gè)漏洞已修復(fù)，另外兩個(gè)需客戶(hù)自行處置，其余十六項(xiàng)配置風(fēng)險(xiǎn)也需客戶(hù)主動(dòng)修正。

這些安全問(wèn)題影響Salesforce的核心組件，包括FlexCards、數(shù)據(jù)映射器(Data Mappers)和集成流程(Integration Procedures)。某些漏洞可能允許未授權(quán)人員查看加密數(shù)據(jù)或繞過(guò)安全檢查，致使姓名、地址、財(cái)務(wù)記錄甚至醫(yī)療健康數(shù)據(jù)等敏感信息面臨風(fēng)險(xiǎn)。攻擊者還可能竊取登錄憑證，進(jìn)而入侵企業(yè)其他系統(tǒng)。

具體而言，F(xiàn)lexCards和數(shù)據(jù)映射器中發(fā)現(xiàn)的五個(gè)嚴(yán)重漏洞（CVE-2025-43697至CVE-2025-43701）有四個(gè)被評(píng)為高危級(jí)。其中：

• 數(shù)據(jù)映射器的CVE-2025-43697漏洞處置不當(dāng)會(huì)暴露加密信息
• FlexCards漏洞涉及可繞過(guò)字段級(jí)安全（CVE-2025-43698）、規(guī)避權(quán)限檢查（CVE-2025-43699）、未授權(quán)查看加密數(shù)據(jù)（CVE-2025-43700）及暴露自定義設(shè)置數(shù)據(jù)（CVE-2025-43701）

用戶(hù)應(yīng)對(duì)建議

AppOmni約25%的客戶(hù)使用Salesforce行業(yè)云，凸顯該問(wèn)題的廣泛影響。使用相關(guān)服務(wù)的企業(yè)必須立即檢查并加固配置。

Salesforce已與AppOmni合作處理這些問(wèn)題。雖然部分漏洞已由官方修復(fù)，但多數(shù)風(fēng)險(xiǎn)仍需客戶(hù)自行調(diào)整配置才能消除。AppOmni同步發(fā)布了檢測(cè)工具，幫助用戶(hù)識(shí)別行業(yè)云中的錯(cuò)誤配置。

AppOmni首席SaaS安全研究員Aaron Costello強(qiáng)調(diào)："這項(xiàng)研究證明，簡(jiǎn)單的配置錯(cuò)誤不僅會(huì)危及行業(yè)云，更可能波及企業(yè)整個(gè)Salesforce環(huán)境。通過(guò)認(rèn)知風(fēng)險(xiǎn)并實(shí)施最佳實(shí)踐，企業(yè)才能在充分利用行業(yè)云功能的同時(shí)規(guī)避安全威脅。"