JVNDB-2021-002839
|
Salesforce Developer Experience Command Line Interface におけるアクセス制限不備の問題
|
|
Salesforce Developer Experience Command Line Interface を使用すると、認証されたユーザは自身と同じアクセス権で Salesforce GUI にアクセス可能な URL を生成できます。
この方法でアクセスした場合、ログに記録されません。
Salesforce のセキュリティ設定がデフォルトの場合、IPアドレスやデバイスなどの検証がされることなく、生成した URL を利用し、Salesforce GUI にアクセスすることが可能です。
その結果任意のユーザが、URL を生成したユーザと同じアクセス権で管理アクションを実行可能な問題が存在します。
|
|
|
|
|
Salesforce.com, inc.
- Salesforce Developer Experience Command Line Interface で管理している Salesforce サービス
|
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。
|
|
遠隔の第三者によって、ユーザアカウントの追加やアプリケーションの設定変更などをされる可能性があります。
|
|
[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本問題の影響を軽減することが可能です。
* セッションセキュリティ設定を利用して、IP アドレスまたはドメインによるセッション制限をする
上記の回避策を利用することで、利用している Salesforce に影響を与える可能性があります。詳しくは Salesforce が公開している情報を参照し実施してください。
|
|
Salesforce.com, inc.
|
|
|
|
|
|
- JVN : JVNVU#97731134
- US-CERT Vulnerability Note : VU#883754
|
|
|
