Los investigadores descubren más de 20 riesgos de configuración, incluidos cinco CVE, en Salesforce Industry Cloud

Los investigadores de ciberseguridad han descubierto más de 20 riesgos relacionados con configuraciones incorrectas que afectan a Salesforce Industry Cloud (también conocido como Salesforce Industries), exponiendo datos sensibles a partes internas y externas no autorizadas.

Las debilidades afectan diversos componentes como FlexCards, Data Mappers, Integration Procedures (IProcs), Data Packs, OmniOut y OmniScript Saved Sessions.

“Las plataformas de bajo código como Salesforce Industry Cloud facilitan la creación de aplicaciones, pero esa comodidad puede tener un costo si la seguridad no se prioriza”, declaró Aaron Costello, jefe de Investigación de Seguridad SaaS en AppOmni, en un comunicado compartido con The Hacker News.

Estas configuraciones incorrectas, si no se abordan, podrían permitir que ciberdelincuentes y usuarios no autorizados accedan a datos confidenciales cifrados sobre empleados y clientes, datos de sesión que detallan cómo los usuarios han interactuado con Salesforce Industry Cloud, credenciales de Salesforce y otros sistemas de la empresa, además de la lógica de negocio.

Tras una divulgación responsable, Salesforce abordó las deficiencias y emitió guías de configuración para las restantes. Los defectos que han recibido identificadores CVE son los siguientes:

• CVE-2025-43697 (puntaje CVSS: 7.5) – Si “Check Field Level Security” no está habilitado para “Extract” y “Turbo Extract Data Mappers”, la verificación del permiso “View Encrypted Data” no se aplica, exponiendo valores en texto claro de campos cifrados a usuarios con acceso al registro.

• CVE-2025-43698 (puntaje CVSS: 9.1) – La fuente de datos SOQL omite cualquier seguridad a nivel de campo (Field-Level Security) al recuperar datos de objetos de Salesforce.

• CVE-2025-43699 (puntaje CVSS: 5.3) – FlexCard no aplica el campo “Required Permissions” para el objeto OmniUlCard.

• CVE-2025-43700 (puntaje CVSS: 7.5) – FlexCard no aplica el permiso “View Encrypted Data”, devolviendo valores en texto plano para datos que usan cifrado clásico.

• CVE-2025-43701 (puntaje CVSS: 7.5) – FlexCard permite a los usuarios invitados acceder a valores de configuraciones personalizadas (Custom Settings).

En pocas palabras, los atacantes pueden aprovechar estas vulnerabilidades para burlar controles de seguridad y extraer información sensible de clientes o empleados.

AppOmni indicó que CVE-2025-43697 y CVE-2025-43698 se han solucionado mediante una nueva configuración de seguridad denominada “EnforceDMFLSAndDataEncryption”, que los clientes deben habilitar para asegurar que solo los usuarios con el permiso “View Encrypted Data” puedan ver valores en texto claro de los campos devueltos por el Data Mapper.

“Para las organizaciones sujetas a normativas como HIPAA, GDPR, SOX o PCI-DSS, estas brechas pueden representar una exposición regulatoria real”, señaló la compañía. “Y dado que es responsabilidad del cliente configurar correctamente estas opciones, un solo ajuste omitido podría provocar la filtración de miles de registros, sin que el proveedor sea responsable.”

Un portavoz de Salesforce declaró a The Hacker News que la mayoría de los problemas “provienen de configuraciones realizadas por los clientes” y no son vulnerabilidades inherentes a la aplicación.

“Todos los problemas identificados en esta investigación han sido resueltos, con parches disponibles para los clientes y documentación oficial actualizada para reflejar completamente la funcionalidad de configuración”, añadió el vocero. “No hemos observado evidencia de explotación en entornos de clientes como resultado de estos problemas.”

Los hallazgos surgen mientras el investigador de seguridad Tobia Righi (alias MasterSplinter) divulgó una vulnerabilidad de inyección SOQL (Salesforce Object Query Language) que podría explotarse para acceder a datos sensibles de usuarios.

La vulnerabilidad zero-day (sin CVE) existe en un controlador Aura predeterminado presente en todas las implementaciones de Salesforce. Surge debido a un parámetro controlado por el usuario, “contentDocumentId”, que se incrusta de manera insegura en

aura://CsvDataImportResourceFamilyController/ACTION$getCsvAutoMap, lo que crea una vía para una inyección SOQL.

Una explotación exitosa podría permitir a los atacantes insertar consultas adicionales a través del parámetro y extraer contenidos de la base de datos. El ataque podría ampliarse pasando una lista de IDs asociadas a objetos ContentDocument no públicos para obtener información sobre documentos cargados.

Righi explicó que estos IDs pueden generarse mediante un script de fuerza bruta público, capaz de crear posibles IDs anteriores o siguientes de Salesforce basados en un ID válido. Esto es posible porque los IDs de Salesforce no constituyen un límite de seguridad real y son relativamente predecibles.

“Como se indica en la investigación, tras recibir el informe, nuestro equipo de seguridad investigó y resolvió el problema de inmediato. No hemos observado evidencia de explotación en entornos de clientes”, señaló el portavoz de Salesforce. “Agradecemos los esfuerzos de Tobia por divulgar responsablemente este hallazgo y seguimos alentando a la comunidad de investigación en seguridad a informar posibles problemas a través de nuestros canales establecidos.”

Fuente y créditos: https://thehackernews.com/2025/06/researchers-uncover-20-configuration.html

Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.