Salesforce Industry Cloud’da Bulunan Güvenlik Açıkları
Son günlerde yapılan araştırmalar, Salesforce Industry Cloud sisteminin çeşitli bileşenlerinde 20’den fazla yapılandırma ile ilgili zafiyetler keşfetti. Bu zafiyetler, yetkisiz kullanıcıların hassas verilere erişmelerine olanak tanıyor. Araştırmacılar, FlexCards, Data Mappers, Integration Procedures (IProcs), Data Packs, OmniOut, ve OmniScript Saved Sessions gibi bileşenlerin etkilendiğini belirtiyor.
Aaron Costello, SaaS Güvenlik Araştırmaları Başkanı, “Düşük kodlu platformlar uygulama geliştirmeyi kolaylaştırıyor ancak bu kolaylık, güvenlik önceliklendirilmezse, ciddi riskler doğurabilir,” dedi.
Yapılandırma Sorunları ve Sonuçları
Yapılandırma sorunları, siber suçluların şifrelenmiş hassas verilere erişimini kolaylaştırabilir. Çalışanlar ve müşterilere ait bilgilerin yanı sıra, oturum verileri ve diğer sistemlerdeki kimlik bilgilerini risk altına atmaktadır. Salesforce, bu zafiyetlerin çözümü için bazı adımlar atmış olsa da, hâlâ kullanıcıların kendi başlarına çözmeleri gereken sorunlar mevcut.
Aşağıda, CVE tanımlayıcılarına sahip olan güvenlik açıkları listelenmiştir:
- CVE-2025-43697 – Veri çıkarımı için önerilen güvenlik önlemleri devre dışı kalmış durumdadır.
- CVE-2025-43698 – SOQL kaynakları, Salesforce nesnelerinden veri çekerken Field-Level Security‘yi bypass etmektedir.
- CVE-2025-43699 – Flexcard, OmniUlCard nesnesi için gerekli izinleri uygulamamaktadır.
- CVE-2025-43700 – Flexcard, kullanıcıların şifrelenmiş verileri görebilmesine olanak sağlar.
- CVE-2025-43701 – FlexCard, konuk kullanıcıların özel ayar bilgisini görmesine izin vermektedir.
Bu zafiyetler, kötü niyetli kullanıcıların güvenlik kontrollerini aşarak müşteri ve çalışan bilgilerini istismar etmesine olanak tanımaktadır.
Verilen Yanıtlar ve Alınan Önlemler
AppOmni, bazı zafiyetlerin düzeltildiğini ve kullanıcıların doğru yapılandırmalar yapmalarını sağlamak amacıyla yeni bir güvenlik ayarı olan “EnforceDMFLSAndDataEncryption” adında bir özellik sunulduğunu açıkladı. Bu ayar, yalnızca “View Encrypted Data” iznine sahip kullanıcıların şifreli alanların düz metin değerlerini görmesini sağlamaktadır.
Şirket, bu yapılandırma açıklarının, HIPAA, GDPR, SOX, veya PCI-DSS gibi uyumluluk gereklilikleri altında olan kuruluşlar için gerçek bir regülasyon riski oluşturduğunu belirtti. Kullanıcıların bu ayarları güvenli bir şekilde yapılandırmalarının gerekliliği, binlerce kaydın ihlaline neden olabilecek tek bir hata ile sonuçlanabilir.
Salesforce’un bir sözcüsü, bu araştırmada tespit edilen sorunların çoğunun "müşteri yapılandırma sorunlarından" kaynaklandığını ifade etti. “Tüm sorunlar çözüldü ve yamanın mevcut olduğuna dair resmi belgeler güncellendi,” dedi.
Yeni Tehditler ve Zero-Day Açıklar
Son zamanlarda, bir güvenlik araştırmacısı Tobia Righi’nin keşfettiği bir SOQL injection açığı, kullanıcıların hassas verilere erişimine olanak tanıyordu. Bu zero-day zafiyeti, her Salesforce dağıtımında bulunan bir standart aura controller kaynaklıdır. Kullanıcının kontrolü altında olan "contentDocumentId" parametresi, kötü niyetli saldırganların ek sorgular ekleyebilmesine zemin hazırlamaktadır.
Righi, "Bu açık, kullanıcıların veritabanı içeriklerini çekmelerine olanak tanıyordu," dedi. Bu zafiyet, brute-force scriptleri ile üretilen ID’ler aracılığıyla, erişimi sınırlı olan dökümanlar hakkında bilgi edinmeye olanak sağlayarak, tehdit seviyesini artırmaktadır.
Salesforce sözcüsü, bu konuyla ilgili yapılan araştırmanın ardından hemen harekete geçtiklerini ve zafiyetin çözümünü sağladıklarını belirtti. “Müşteri sistemlerinde istismar kanıtı görülmemiştir,” ifadelerini kullandı.
Güvenlik araştırmaları ve zayıflıkların bildirilmesi, yazılım geliştiricileri için son derece önemlidir. Salesforce, haksız yere elde edilen bilgiler ve oluşabilecek kötü niyetli kullanımlar karşısında, topluluğun bildirimde bulunmasını teşvik etmektedir.
