Los investigadores de ciberseguridad han descubierto más de 20 riesgos relacionados con la configuración que afectan a Salesforce Industry Cloud (también conocido como Industries de Salesforce), exponiendo datos confidenciales a partes internas y externas no autorizadas.
Las debilidades afectan a varios componentes como tarjetas flexibles, mapeadores de datos, procedimientos de integración (IPROC), paquetes de datos, omniout y sesiones guardadas de Omniscript.
«Las plataformas de bajo código, como Salesforce Industry Cloud, facilitan las aplicaciones de construcción, pero esa conveniencia puede tener un costo si la seguridad no se prioriza», dijo Aaron Costello, jefe de investigación de seguridad SaaS en AppOmni, en un comunicado compartido con The Hacker News.
Estas configuraciones erróneas, si no se abordan, podrían permitir que los ciberdelincuentes y no autorizados accedan a datos confidenciales cifrados a los empleados y clientes, los datos de la sesión que detallan cómo los usuarios han interactuado con Salesforce Industry Cloud, credenciales para Salesforce y otros sistemas de empresas, y lógica empresarial.
Después de la divulgación responsable, Salesforce ha abordado tres de las deficiencias y la guía de configuración emitida para otros dos. Las 16 configuraciones erróneas restantes se han dejado a los clientes para arreglarlos por su cuenta.
Las vulnerabilidades a las que se les ha asignado identificadores CVE se enumeran a continuación –
- CVE-2025-43697 (Puntuación CVSS: N/A) – Si la «seguridad de nivel de campo de verificación ‘no está habilitado para’ extraer ‘y’ Turbo Extract Mappers de datos, la verificación de permiso ‘Ver datos cifrados’ no se aplica, lo que expone valores de ClearText para los campos cifrados a los usuarios con acceso a un registro dado a un registro dado.
- CVE-2025-43698 (Puntuación CVSS: N/A) – La fuente de datos de SOQL omite cualquier seguridad a nivel de campo al obtener datos de los objetos de Salesforce
- CVE-2025-43699 (Puntuación CVSS: 5.3) – FlexCard no impone el campo de ‘permisos requeridos’ para el objeto Omniulcard
- CVE-2025-43700 (Puntuación CVSS: 7.5) – FlexCard no impone el permiso ‘Ver datos cifrados’, devolviendo los valores de texto sin formato para los datos que usan el cifrado clásico
- CVE-2025-43701 (Puntuación CVSS: 7.5) – FlexCard permite a los usuarios invitados acceder a valores para configuraciones personalizadas
En pocas palabras, los atacantes pueden armarse estos problemas para evitar controles de seguridad y extraer información confidencial de clientes o empleados.
AppOmni dijo que CVE-2025-43967 y CVE-2025-43698 se han abordado a través de una nueva configuración de seguridad llamada «ForcedMflSandDataEncryption» que los clientes deberán habilitar solo que los usuarios con el permiso de «Vista de datos cifrados» puedan ver el valor de texto que no sean los campos devueltos por los datos de los datos.
«Para las organizaciones sujetas a mandatos de cumplimiento como HIPAA, GDPR, SOX o PCI-DSS, estas brechas pueden representar una exposición regulatoria real», dijo la compañía. «Y debido a que es responsabilidad del cliente configurar de forma segura estas configuraciones, una sola configuración perdida podría conducir a la incumplimiento de miles de registros, sin responsabilidad del proveedor».
Cuando se le contactó para hacer comentarios, un portavoz de Salesforce le dijo a The Hacker News que la gran mayoría de los problemas «provienen de problemas de configuración del cliente» y no son vulnerabilidades inherentes a la aplicación.
«Todos los problemas identificados en esta investigación se han resuelto, con parches disponibles para los clientes y la documentación oficial actualizada para reflejar la funcionalidad de configuración completa», dijo la compañía. «No hemos observado ninguna evidencia de explotación en entornos de clientes como resultado de estos problemas».
La divulgación se produce cuando la investigadora de seguridad Tobia Righi, que pasa por el Manter Mastersplinter, reveló una vulnerabilidad de inyección de Inyección de Lenguaje de Consulta de Objetos de Salesforce (SOQL) que podría explotarse para acceder a los datos del usuario confidenciales.
La vulnerabilidad del día cero (sin CVE) existe en un controlador Aura predeterminado presente en todas las implementaciones de Salesforce, que surgen como resultado de un parámetro «ContentDocumentDocumentID» controlado por el usuario que está integrado de manera inalcanzada en «aura: // csvdataimortresourcefamilyController/Action $ getcsvautomap» que crea un patrón de Soql.
La explotación exitosa de la falla podría haber permitido a los atacantes insertar consultas adicionales a través del parámetro y extraer contenido de la base de datos. La exploit podría aumentar aún más al aprobar una lista de ID correlacionadas con los objetos ContentDocument que no son públicos para recopilar información sobre documentos cargados.
Las IDS, dijo Righi, pueden generarse mediante un guión de fuerza bruta disponible públicamente que puede generar posibles ID de Salesforce anteriores o próximos en función de una ID de entrada válida. Esto, a su vez, es posible debido al hecho de que las ID de Salesforce en realidad no proporcionan un límite de seguridad y en realidad son algo predecibles.
«Como se señaló en la investigación, después de recibir el informe, nuestro equipo de seguridad investigó y resolvió el problema. No hemos observado ninguna evidencia de explotación en entornos de clientes», dijo el portavoz de Salesforce. «Apreciamos los esfuerzos de Tobia para revelar de manera responsable este problema a Salesforce, y continuamos alentando a la comunidad de investigación de seguridad a informar posibles problemas a través de nuestros canales establecidos».