O que são falhas de configuração no Salesforce Industry Cloud?

Em 12 de junho de 2025, a Salesforce corrigiu mais de 20 falhas de configuração no Industry Cloud, anteriormente chamado Salesforce Industries. Essas falhas poderiam expor dados criptografados e confidenciais de clientes e funcionários — um alerta para quem usa plataformas low-code sem segurança reforçada.

Como funciona a identificação das falhas?

A pesquisa da AppOmni identificou riscos nas áreas de FlexCards, Data Mappers, Integration Procedures (IProcs), Data Packs, OmniOut e OmniScript. Foram atribuídos cinco CVEs (CVE‑2025‑43697 a CVE‑2025‑43701), com pontuações de gravidade entre 5,3 e 7,5, que permitiam:

• Leitura de dados criptografados sem checagem de permissão (Data Mapper/FlexCards).
• Acesso não autorizado por usuários convidados, ignorando controles como “View Encrypted Data”.
• Bypass de validações críticas no cliente e quebra de Field Level Security (FLS).

A Salesforce já corrigiu três dessas CVEs automaticamente. As duas restantes (CVE‑2025‑43697 e CVE‑2025‑43698) exigem ação dos clientes, ativando a configuração “EnforceDMFLSAndDataEncryption”. Além disso, há outras 15 configurações inseguras que dependem exclusivamente da ação dos clientes, configuradas de maneira imprópria por padrão.

O que fazer agora / Como se proteger

Dica de prevenção aplicável:

1. Aplique os patches liberados pela Salesforce – as 3 CVEs estão automaticamente corrigidas.
2. Para CVE‑2025‑43697 e CVE‑2025‑43698, ative “EnforceDMFLSAndDataEncryption” em seu org para proteger dados criptografados.
3. Faça uma auditoria completa de FlexCards, Data Mappers, IProcs e sessions OmniScript, verificando Field Level Security e controles de compartilhamento.
4. Implemente scans automatizados (como os da AppOmni) para identificar e corrigir as outras 15 configurações inseguras.
5. Estabeleça revisões periódicas de configuração como parte da governança de segurança das aplicações low-code.

Prevenção / Boas práticas

Essa série de falhas no Salesforce Industry Cloud mostra que facilidade de uso e desenvolvimento rápido precisam ser acompanhados de segurança robusta. A correção das CVEs e a configuração adequada evitam exposição de dados criptografados e perda de controle sobre informações sensíveis.

Perguntas frequentes

Quais são as principais falhas corrigidas pela Salesforce?

A Salesforce corrigiu falhas que permitiam a leitura não autorizada de dados criptografados e o bypass de controles de segurança.

O que os clientes devem fazer para garantir a segurança?

Os clientes devem aplicar patches, ativar configurações de segurança e realizar auditorias completas para garantir a proteção dos dados.

Como a LC Sec pode ajudar minha empresa?

A LC Sec auxilia na revisão de configurações, implementação de boas práticas e auditoria contínua em plataformas low-code.