Salesforce-Industrie-Cloud: Sicherheitslücken und Konfigurationsrisiken aufgedeckt

SAN FRANCISCO / LONDON (IT BOLTWISE) – Salesforce steht im Mittelpunkt einer neuen Sicherheitsdebatte, nachdem Forscher über 20 Konfigurationsrisiken in der Salesforce Industry Cloud aufgedeckt haben. Diese Schwachstellen könnten sensible Daten für unbefugte interne und externe Parteien zugänglich machen.

Die Salesforce Industry Cloud, bekannt für ihre benutzerfreundlichen Low-Code-Plattformen, steht derzeit unter kritischer Beobachtung. Sicherheitsforscher haben über 20 Konfigurationsrisiken identifiziert, die potenziell sensible Daten für unbefugte Parteien zugänglich machen könnten. Diese Schwachstellen betreffen verschiedene Komponenten wie FlexCards, Data Mappers und Integration Procedures. Aaron Costello, Leiter der SaaS-Sicherheitsforschung bei AppOmni, betonte, dass die Bequemlichkeit von Low-Code-Plattformen ihren Preis haben kann, wenn die Sicherheit nicht priorisiert wird.

Die aufgedeckten Schwachstellen könnten es Cyberkriminellen ermöglichen, verschlüsselte vertrauliche Daten von Mitarbeitern und Kunden zu entschlüsseln. Auch Sitzungsdaten, die die Interaktion der Nutzer mit der Salesforce Industry Cloud aufzeigen, könnten betroffen sein. Nach verantwortungsvoller Offenlegung hat Salesforce drei der Schwachstellen behoben und Konfigurationsanleitungen für zwei weitere bereitgestellt. Die restlichen 16 Konfigurationsfehler müssen von den Kunden selbst behoben werden.

Zu den Schwachstellen, die mit CVE-Identifikatoren versehen wurden, gehören unter anderem CVE-2025-43697 und CVE-2025-43698. Diese betreffen die ‘View Encrypted Data’-Berechtigung, die bei falscher Konfiguration Klartextwerte für verschlüsselte Felder preisgeben könnte. AppOmni hat darauf hingewiesen, dass diese Probleme durch eine neue Sicherheitseinstellung namens ‘EnforceDMFLSAndDataEncryption’ angegangen wurden, die Kunden aktivieren müssen, um sicherzustellen, dass nur Benutzer mit der entsprechenden Berechtigung die Klartextwerte sehen können.

Für Unternehmen, die unter regulatorischen Vorgaben wie HIPAA, GDPR oder PCI-DSS stehen, könnten diese Sicherheitslücken erhebliche regulatorische Risiken darstellen. Da es in der Verantwortung der Kunden liegt, diese Einstellungen sicher zu konfigurieren, könnte eine einzige verpasste Einstellung zur Verletzung von Tausenden von Datensätzen führen, ohne dass der Anbieter zur Verantwortung gezogen wird.

Ein Salesforce-Sprecher betonte, dass die meisten Probleme auf Kundenkonfigurationen zurückzuführen seien und nicht auf inhärente Schwachstellen der Anwendung. Alle identifizierten Probleme seien behoben worden, und es wurden Patches für die Kunden bereitgestellt. Zudem gebe es keine Hinweise auf eine Ausnutzung dieser Schwachstellen in Kundenumgebungen.

Parallel dazu hat der Sicherheitsforscher Tobia Righi eine SOQL-Injektionsschwachstelle offengelegt, die es Angreifern ermöglichen könnte, auf sensible Benutzerdaten zuzugreifen. Diese Zero-Day-Schwachstelle, die in einem Standard-Aura-Controller aller Salesforce-Implementierungen existiert, könnte durch unsichere Einbettung eines benutzerkontrollierten Parameters ausgenutzt werden. Salesforce hat auch hier schnell reagiert und das Problem behoben.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!