ClickSoftware

Commerce Cloud

Experience Cloud

Heroku

Hyperforce

Marketing Cloud

MuleSoft

Pardot

Quip

Sales Cloud

Salesforce Platform

Salesforce Einstein

Service Cloud

Slack

Tableau

Agentforce

2021 年 10 月 4 日の CERT Coordination Center の注意喚起 (VU#883754) への対応 

Salesforce Developer Experience Command Line Interface の設定

ADV-2021-017

ADV-2021-016

2021 年 10 月 24 日の Microsoft ブログ投稿への対応

クラウドサービス、サプライチェーンを標的とする Nobelium 攻撃

2022 年 3 月に公開された Spring4Shell の脆弱性

Spring4Shell セキュリティ更新

Heroku に接続された GitHub リポジトリの問題

Heroku のセキュリティに関するお知らせ

Tableau Server で個人アクセストークンが内部ログリポジトリに記録される

Tableau セキュリティ更新

Tableau Server の破損したアクセス制御の脆弱性

CVE-2022-22127

マルウェアが Salesforce ユーザーを標的にする可能性がある。

TrickBot / The Trick

Windows の「Eternal Blue」という脆弱性を標的にするランサムウェア。

WannaCry ランサムウェア

フィッシングリンクを含む Google ドキュメントへの招待。

Google ドキュメントのフィッシング攻撃

Tableau ギャラリーで使用される Oracle NetSuite および SAP SuccessFactors コネクタにより Tableau オンプレミスユーザーのログインフラストラクチャのサブセットに機密データが保存される場合がある  

Oracle NetSuite および SAP SuccessFactors コネクタの問題

2021 年 12 月 10 日に公開された Apache Log4j2 の脆弱性

Apache Log4j2 の脆弱性

MS17-010 (別名 EternalBlue) 脆弱性を活用するマルウェア

MS17-010 脆弱性 (別名 EternalBlue)

埋め込みコンテンツ配信ネットワークとインターネットセキュリティサービスのプロバイダである Cloudflare は、HTTP Cookie、認証トークン、HTTP POST 本文などの情報を公開する可能性があるエッジサーバーのセキュリティ脆弱性を開示しました、

Cloudflare の脆弱性

Twitter アカウントアクティビティ API の脆弱性

Twitter アカウントアクティビティ API

組織が情報セキュリティインシデントの影響を受ける場合、組織のセキュリティ担当者に通知されます。

組織のセキュリティ担当者の管理

Mule Runtime および API ゲートウェイでのリモートコードの実行

CVE-2019-15631

Salesforce が経験していない重大なビジネスへの影響

COVID-19 ビジネスの継続性に関する声明

Mule Runtime でのサービス拒否の脆弱性

CVE-2020-6937

MuleSoft Runtime でのディレクトリトラバーサル

CVE-2019-15630

Tableau Server での機密情報開示の脆弱性

CVE-2020-6938

Salesforce Sites および Communities に影響を与えるセキュリティ脆弱性

Salesforce のセキュリティ脆弱性

ログに含まれる Tableau Server の機密値

ADV-2020-046

サーバーが再起動されるまで一部の権限変更が有効にならない

ADV-2020-047

Salesforce テーマを使用するフィッシング攻撃

フィッシング攻撃

Tableau Server のログに Webhook の URL が含まれる

ADV-2020-045

外部サービスの接続でホスト名の検証に失敗する

ADV-2020-044

ログファイルの場所に含まれる Tableau Server の機密値

ADV-2020-048

デフォルトの共有設定への潜在的な影響

コミュニティユーザー、ポータルユーザーのセキュリティの強化

リポジトリに含まれるプレーンテキストのデータソースの秘密

ADV-2020-049

REST API でサイト設定値が、認証されていないユーザーに返される

ADV-2020-050

Tableau 製品の整数のオーバーフロー

ADV-2020-051

ADV-2020-053

Tableau Server では Web ゾーンで外部 Web ページが許可される

ADV-2020-052

Tableau Desktop ではプレーンテキストの秘密が設定ファイルに保存される

ADV-2020-054

認証されていない API エンドポイント

CVE-2020-6939

一時ファイルのファイルパスの開示

ADV-2020-057

ADV-2020-056

ログファイルに含まれるデータベースログイン情報

ADV-2020-055

Tableau による QtWebEngine の脆弱性の修正

ADV-2020-059

デフォルト Tableau Server インストールでの脆弱なフォルダ権限

ADV-2020-060

Tableau 製品での権限のエスカレーション

ADV-2020-058

デフォルト以外の Tableau Server インストールでの脆弱なフォルダ権限

ADV-2020-061

Tableau Server で Postgres リポジトリパスワードが記録される

ADV-2021-005

ADV-2021-004

IPv6 ネットワークでの認証のスキップ

ADV-2021-003

映し出されたエラーメッセージコンテンツの挿入

ADV-2021-001

ADV-2021-002

データベースパスワードがデバッグログに記録される

ADV-2021-007

連邦政府と Fortune 500 企業がサプライチェーン攻撃によって侵害される

SolarWinds ソフトウェアのセキュリティ侵害

ADV-2021-008

Tableau Server の開かれたリダイレクト

ADV-2021-010

Mule Runtime でのサーバーサイドリクエストフォージェリ

CVE-2021-1627

Tableau Server でのサービス拒否の脆弱性

ADV-2021-011

2021 年 3 月 2 日に公開された Microsoft Exchange Server の脆弱性 

Microsoft Exchange Server の脆弱性

ADV-2021-009

Bash Uploader ユーザーの秘密が攻撃者によって侵害される

Codecov Bash Uploader のセキュリティ侵害

ADV-2021-013

メールの HTML インジェクション

ADV-2021-012

2021 年 7 月 2 日の Kaseya VSA ランサムウェア攻撃


Kaseya ランサムウェア攻撃

Mule Runtime でのリモートコードの実行の脆弱性

CVE-2021-1626

初期 SQL を使用するときの不適切なデータキャッシュアクセス制御

ADV-2021-015

設定内で一部の秘密が暗号化されない

ADV-2021-006

2021 年 8 月 10 日の Varonis ブログ投稿への対応

Salesforce サイトおよびコミュニティのゲストユーザーアクセス制御権限の設定

Mule Runtime での XML 外部エンティティ (XXE) の脆弱性

CVE-2021-1628

CVE-2021-1630

Tableau Server 管理エージェントに影響を与える問題

CVE-2022-22128

お客様が Salesforce 製品のセキュリティ評価を実施する前に、事前の承認を得る必要がなくなりました。

セキュリティ評価

脆弱性は、MOVEit のファイル転送製品および環境への不正アクセスにつながる可能性があります。現時点で Salesforce の顧客データへの影響はありません。6 月 16 日、重要度の高い追加の脆弱性 (末尾 708) が発表されました。7 月 5 日、末尾 932、933、934 の CVE が発表されました。

CVE-2023-34362、CVE-2023-35036、CVE-2023-35708、CVE-2023-36932、CVE-2023-36933、CVE-2023-36934

Tableau Python サーバー (TabPy) のインストールは、認証なしで任意の Python コードを実行するように設定できます。影響を受ける製品: TabPy 2.8.0 以前のバージョン

Salesforce の tough-cookie オープンソース NPM プロジェクトに影響する JavaScript の脆弱性。悪意のある行為者が Cookie データをグローバル名前空間にアタッチできる可能性があります。

CVE-2023-26136

サーバーサイドリクエストフォージェリの脆弱性。悪意のある行為者が Tableau Server のインスタンスに認証され、ホストされた顧客データにアクセスできる可能性があります。

Tableau のセキュリティに関するお知らせ

Salesforce は CVE-2023-46604 の潜在的な影響について積極的に調査し、必要に応じて緩和策を実施しています。Salesforce は引き続き脆弱性管理プロセスに従い、顧客データへの不正アクセスの証拠を発見した場合は、影響を受ける関係者に遅滞なく通知します。

CVE-2023-46604

2023 年 11 月 2 日に、Salesforce のセキュリティは、Apache ActiveMQ クライアントに影響を及ぼすリモートコード実行 (RCE) の脆弱性 CVE-2023-46604 についての通知を受けました。

2023 年 5 月 11 日に、Advanced Server Access (ASA) プログラムを通じて、ローカルファイルインクルード (LFI) のセキュリティ脆弱性が報告されました。


オンプレミスの Tableau Server に影響するローカルファイルインクルード (LFI) の脆弱性

Salesforce セキュリティによって、Tableau のフローエディター機能のメール通知機能に影響する脆弱性が発見されました。この問題により、認証済みユーザーがお客様の Tableau Server インスタンスで任意のコマンドを実行できる可能性がありました。CVSSv3 スコアを 9.1 としました。

Tableau Server の一部のバージョンに影響するローカルファイルインクルード (LFI) の脆弱性

セキュリティ機能を強化し、無料トライアル組織の不正使用を防止するために、2024 年 10 月 8 日に、Core CRM 製品トライアルのユーザーが送信するメール機能を一時的に無効にしました。これには、アクティブ利用者やその他の Salesforce 製品は含まれません。



ユーザーのメール機能の一時的な停止

Tableau では、特定の値をクエリに含めるか除外するかを指定するフィルター機能を使用して、データベース項目に行レベルのアクセスコントロールを実装できます。アクセスコントロールの不具合により、影響を受けるバージョンでは、最初にフィルターした後で新しい値を項目に追加した場合に、フィルター圧縮機能が有効になっているワークブック項目がデータ視覚化で公開されます。Tableau は 11 月のメンテナンスリリースで、Tableau Cloud および Tableau Server のフィルター圧縮機能をデフォルトで無効にしました。

 

Tableau の行レベルのアクセスコントロールに関するセキュリティの問題

Salesforce では RSA 鍵交換から TLS 1.3 に移行して、ネットワーク通信のセキュリティと効率性を高めることを強くお勧めします。

RSA 鍵交換から TLS 1.3 への移行

多要素認証 (MFA) や IP 制限を使用していないユーザーアカウント、または脆弱なログイン情報を使用しているユーザーアカウントは、悪意のある攻撃者によって不正アクセスされる危険性があります。添付のヘルプ記事を参照して、カスタマイズ可能な設定を使用したり Shield のイベントモニタリングを実装したりしてユーザーアカウントを保護する方法に関する概要を確認してください。

アカウント不正アクセス防止策の実行 

Salesforce セキュリティでは 8 月のメンテナンスリリースで Tableau Cloud およびTableau Server のワークブックに影響を与えていたセキュリティの問題に対処しました。Tableau Server をご利用のお客様には、メジャーリリースに関連するアップデートを適用することを強くお勧めします。このアップデートは Tableau Server メンテナンスリリースページからダウンロードできます。Tableau Cloud をご利用のお客様は、2024 年 8 月 9 日の Cloud インスタンスにパッチが適用されているため、特に対応の必要はありません。

Tableau の行レベルのアクセスコントロールに影響するセキュリティの問題

Starter および ProSuite では 2025 年 3 月 4 日、Service Enterprise Edition および Unlimited Edition では 2025 年 3 月 5 日、Sales Enterprise および Unlimited では 2025 年 3 月 20 日をもって、Salesforce Web サイトからプロビジョニングされたトライアル組織では 30 日間の標準評価期間中、メール機能が無効になります。

Salesforce.com からのトライアルサインアップのメール機能制限

Salesforce は OmniStudio に影響するセキュリティ脆弱性 (CVE 2025-43698、2025-43700、2025-43701、2025-43699、2025-43697) に関するメディア報道を認識しています。これらの CVE は OmniStudio の FlexCard および Data Mapper コンポーネントに影響するものです。

OmniStudio の FlexCard および Data Mapper コンポーネントに影響する CVE

Salesforce は Aura コントローラー関連のセキュリティ問題に関する最近のメディア報道を認識しています。当社はこのような問題を深刻に受け止め、潜在的な脆弱性を事前に特定してこれらに対処するための継続的なシステムスキャンを実施しています。Salesforce はお客様とお客様のデータを保護することを最優先に考えています。現時点で入手可能な情報によると、この問題に関連する攻撃の証拠は一切確認されておりません。Salesforce はすでに修正を実装しており、現時点でお客様による対応は必要ありません。その他の質問がありましたら Salesforce サポートまでお問い合わせください。





Aura コントローラーに関するセキュリティの問題

2025 年 6 月 26 日に、すべてのアクティブな Tableau Server アカウントのポータル管理者およびセキュリティ担当者の皆様宛てにメールをお送りしました。2025 年 6 月 26 日に公開された、6 月のメンテナンスリリースで対処したさまざまな脆弱性に関する内容です。この問題は Tableau Server の 2025.1.3、2024.2.12、2023.3.19 の各バージョンより前のバージョンに影響します。CVE は次のとおりです。CVE-2025-52446 CVE-2025-52447 CVE-2025-52448 CVE-2025-52449 CVE-2025-52452 CVE-2025-52453 CVE-2025-52454 CVE-2025-52455 



Tableau Server の一部のバージョンに影響するさまざまな脆弱性に関する CVE

Security Advisory: As social engineering and phishing threats continue to rise, our top priority is to help customers strengthen their security posture.  We encourage all customers to review our blog post on the topic, which gathers some of the key resources to protect your environment against these types of attacks.

Protect Your Salesforce Environment from Social Engineering Threats

To enhance security against prompt injection risks in Agentforce and Einstein Generative AI, Salesforce is changing the “isConfirmationRequired” setting for “UpdateCustomerContact” and “UpdateVerifiedContact” actions, ensuring Human-in-the-loop (HITL) confirmation before updates. This proactive measure, part of our ongoing commitment to Trust, aims to reduce the likelihood and impact of prompt injection attacks. 


Confirmation Required For Agentforce Verified Contact and Customer Contact Actions

Salesforce Security identified and resolved multiple vulnerabilities in Tableau Server as part of a proactive security assessment. Fixes for these issues were included in the July Maintenance Release, published on July 22, 2025. The CVE's are listed below.

CVE-2025-26496
CVE-2025-26497
CVE-2025-26498
CVE-2025-52450
CVE-2025-52451


CVE's for various vulnerabilities impacting some versions of Tableau Server and Tableau Desktop

To enhance security against prompt injection risks in Agentforce and Einstein Generative AI, Salesforce is changing the “isConfirmationRequired” setting for “AddCaseComment”, “CancelOrder”, “CreateCase”, “CreateCaseEnhancedData”, “FinalizeNewDeliveryTime”, “FinalizeReservation”, “ResetPassword”, and “ResetSecurePassword” actions, ensuring Human-in-the-loop (HITL) confirmation before actioning. 

We are applying this proactive security measure to all Agentforce Standard actions to help reduce the risk of prompt injections. As a result, Service Agents will more frequently ask you to confirm an action before it is executed. We recommend customers configure their custom actions to require confirmation before completing any sensitive actions.













Security Advisory Confirmation Required For Agentforce Actions

Salesforce has disabled the connection between the Drift app by Salesloft and Salesforce after identifying a security incident. This issue did not stem from a vulnerability within the core Salesforce platform.



Ongoing Security Response to Third-Party App Incident

Salesforce has disabled all integrations between Salesforce and Salesloft technologies, including the Drift app, as a precautionary measure. Organizations will not be able to connect to Salesforce via any Salesloft apps until further notice.


Salesloft App Connections to Salesforce Disabled

We are aware of recent extortion attempts by threat actors, which we have investigated in partnership with external experts and authorities. Our findings indicate these attempts relate to past or unsubstantiated incidents, and we remain engaged with affected customers to provide support.

Security Advisory: Ongoing Response to Social Engineering Threats

山の中で鍵アイコンを持つ Astro

セキュリティアドバイザリ