網絡安全研究公司AppOmni近期調查發現，Salesforce行業云(Industry Cloud)產品存在二十余項安全缺陷。據Hackread.com獲得的報告顯示，其中包括多個此前未知的高危漏洞（即零日漏洞）。

這項由AppOmni首席SaaS安全研究員Aaron Costello主導的研究指出，用戶簡單的配置錯誤就可能導致敏感信息泄露，引發嚴重安全問題。

Salesforce行業云旨在幫助醫療、金融和電信等行業的企業快速構建定制解決方案，即使缺乏深厚技術背景的用戶也能使用。這種低代碼開發方式雖然便捷，但也要求用戶必須確保平臺配置安全。

漏洞風險分析

研究發現，基礎設置和常見的不安全操作可能導致加密數據遭未授權訪問、會話劫持，以及登錄憑證和商業信息泄露。其中五個高危漏洞已分配CVE編號（通用漏洞披露），三個漏洞已修復，另外兩個需客戶自行處置，其余十六項配置風險也需客戶主動修正。

這些安全問題影響Salesforce的核心組件，包括FlexCards、數據映射器(Data Mappers)和集成流程(Integration Procedures)。某些漏洞可能允許未授權人員查看加密數據或繞過安全檢查，致使姓名、地址、財務記錄甚至醫療健康數據等敏感信息面臨風險。攻擊者還可能竊取登錄憑證，進而入侵企業其他系統。

具體而言，FlexCards和數據映射器中發現的五個嚴重漏洞（CVE-2025-43697至CVE-2025-43701）有四個被評為高危級。其中：

• 數據映射器的CVE-2025-43697漏洞處置不當會暴露加密信息
• FlexCards漏洞涉及可繞過字段級安全（CVE-2025-43698）、規避權限檢查（CVE-2025-43699）、未授權查看加密數據（CVE-2025-43700）及暴露自定義設置數據（CVE-2025-43701）

用戶應對建議

AppOmni約25%的客戶使用Salesforce行業云，凸顯該問題的廣泛影響。使用相關服務的企業必須立即檢查并加固配置。

Salesforce已與AppOmni合作處理這些問題。雖然部分漏洞已由官方修復，但多數風險仍需客戶自行調整配置才能消除。AppOmni同步發布了檢測工具，幫助用戶識別行業云中的錯誤配置。

AppOmni首席SaaS安全研究員Aaron Costello強調："這項研究證明，簡單的配置錯誤不僅會危及行業云，更可能波及企業整個Salesforce環境。通過認知風險并實施最佳實踐，企業才能在充分利用行業云功能的同時規避安全威脅。"