Menu Mobile
Voltar ao início do blog

Salesforce corrige falhas que expunham dados criptografados

Em 12 de junho de 2025, a Salesforce corrigiu mais de 20 falhas de configuração no Industry Cloud, anteriormente chamado Salesforce Industries. Essas falhas poderiam expor dados criptografados e confidenciais de clientes e funcionários — um alerta para quem usa plataformas low-code sem segurança reforçada

A pesquisa da AppOmni identificou riscos nas áreas de FlexCards, Data Mappers, Integration Procedures (IProcs), Data Packs, OmniOut e OmniScript. Foram atribuídos cinco CVEs (CVE‑2025‑43697 a CVE‑2025‑43701), com pontuações de gravidade entre 5,3 e 7,5, que permitiam:

  • Leitura de dados criptografados sem checagem de permissão (Data Mapper/FlexCards) 

  • Acesso não autorizado por usuários convidados, ignorando controles como “View Encrypted Data”

  • Bypass de validações críticas no cliente e quebra de Field Level Security (FLS) 

A Salesforce já corrigiu três dessas CVEs automaticamente. As duas restantes (CVE‑2025‑43697 e CVE‑2025‑43698) exigem ação dos clientes, ativando a configuração “EnforceDMFLSAndDataEncryption”
Além disso, há outras 15 configurações inseguras que dependem exclusivamente da ação dos clientes, configuradas de maneira imprópria por padrão .

Dica de prevenção aplicável

  1. Aplique os patches liberados pela Salesforce – as 3 CVEs estão automaticamente corrigidas.

  2. Para CVE‑2025‑43697 e CVE‑2025‑43698, ative “EnforceDMFLSAndDataEncryption” em seu org para proteger dados criptografados.

  3. Faça uma auditoria completa de FlexCards, Data Mappers, IProcs e sessions OmniScript, verificando Field Level Security e controles de compartilhamento.

  4. Implemente scans automatizados (como os da AppOmni) para identificar e corrigir as outras 15 configurações inseguras.

  5. Estabeleça revisões periódicas de configuração como parte da governança de segurança das aplicações low-code.

Essa série de falhas no Salesforce Industry Cloud mostra que facilidade de uso e desenvolvimento rápido precisam ser acompanhados de segurança robusta. A correção das CVEs e a configuração adequada evitam exposição de dados criptografados e perda de controle sobre informações sensíveis.

Na LC SEC, auxiliamos sua empresa a rever configurações, implementar boas práticas e auditoria contínua em plataformas low-code. Quer reforçar sua segurança? Conheça nossos serviços: lcsec.io

Compartilhe nas redes sociais:

Você cuida da sua empresa, a LC Sec cuida da sua cibersegurança

conheça a lc sec

Conteúdos relacionados

16 de Junho de 2025

Golpe com links falsos no Discord espalha malware e ameaça usuários
28 de Abril de 2025

Pentest: como testar vulnerabilidades e aumentar a segurança
30 de Maio de 2025

Falha no Safari permite ataques de “navegador no meio” com tela cheia