最近，安全研究公司AppOmni发布了一项重要调查报告，揭示了Salesforce Industry Cloud产品中存在超过20项安全漏洞。这些漏洞中包括多个未公开的关键性漏洞，称为零日漏洞，其风险等级被评为高。这一发现引发了广泛关注，尤其是在涉及到企业敏感数据安全的背景下。

AppOmni的SaaS安全研究负责人亚伦·科斯特洛（Aaron Costello）进行的研究表明，用户在设置过程中的一些简单错误可能导致敏感信息暴露，进而引发严重的安全问题。简单来说，Salesforce Industry Cloud为医疗、金融和电信等多个行业的企业提供了快速构建定制解决方案的能力，尤其是对于那些技术背景不深的用户。虽然这种低代码的开发方式加快了应用程序的开发进程，但也意味着用户在设置该平台时必须承担起安全配置的责任。

科斯特洛的研究表明，某些基础设置和常见的不安全做法可能允许未授权人员访问加密数据，甚至可以窃取会话信息，暴露登录凭证及商业信息。针对这些安全漏洞，其中五项已被分配了CVEs（常见漏洞和暴露），其中三项已被修复，而另外两项则需要客户采取相应的措施来解决。还有16项其他配置风险的修复则完全依赖于客户自身的行动。

这些漏洞影响到了Salesforce的几个核心部分，比如FlexCards、数据映射器（Data Mappers）和集成程序（Integration Procedures）。这些组件在平台内用来处理和展示数据。例如，某些发现的问题可能允许没有相应权限的人员查看加密数据，或绕过安全检查。这意味着如姓名、地址、财务记录甚至医疗数据等敏感信息可能面临风险。攻击者甚至可能盗取登录信息，从而获取其他公司系统的访问权限。

具体来说，研究中识别出的五个严重漏洞分别是CVE-2025-43697、CVE-2025-43698、CVE-2025-43699、CVE-2025-43700和CVE-2025-43701，这些均在FlexCards和数据映射器中被发现。其中四个被评为高危。在数据映射器中发现的漏洞CVE-2025-43697，如果不妥善处理，可能导致加密信息的暴露。而FlexCard中的漏洞包括可以忽视字段级安全（CVE-2025-43698）、绕过必需的权限（CVE-2025-43699）、未授权用户查看加密数据（CVE-2025-43700）和暴露自定义设置数据（CVE-2025-43701）。

对于大约四分之一使用Salesforce Industry Clouds的AppOmni客户而言，这些发现的影响极为广泛。因此，利用这些服务的组织必须立即评估和确保其配置的安全。Salesforce与AppOmni合作，来解决这些问题。尽管Salesforce已经提供了部分问题的修复程序，但许多已识别的风险仍需要客户主动做出特定变更密切关注配置的安全性。为了帮助客户检测在Salesforce Industry Cloud设置中的不当配置，AppOmni还发布了一些工具。

亚伦·科斯特洛强调，SaaS应用程序需要更好的安全实践。他指出，错误配置的SaaS应用是一个重要但常常被忽视的风险。他表示：“我的研究突显了简单的错误配置如何在不仅仅是Industry Cloud中，而是在整个组织的Salesforce生态环境中造成严重风险。通过理解这些风险并应用最佳实践，企业能够充分利用Industry Cloud的功能，而不必面临不必要的威胁。”

在这个信息化迅速发展的时代，数据的安全性显得尤为重要。对于企业和组织来说，了解和应对这些安全漏洞，并做好有效的配置，是确保企业重要数据安全的基本责任。固守科学、严格遵守安全配置的指南和建议，帮助企业构建一个更加安全的数字环境，是每个使用者需要关注的重要课题。随着网络安全威胁的不断升级，加强和改善网络安全措施已然成为一项刻不容缓的任务。

总之，Salesforce Industry Cloud存在的这些漏洞提醒我们，随着技术的进步，安全风险也在不断变化。企业必须时刻保持警惕，及时更新安全措施，确保他们的信息资产不被侵犯。希望这次调查能够促使大家重视数据安全，以创建一个更加安全的网络环境。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课