ClickSoftware

Commerce Cloud

Experience Cloud

Heroku

Hyperforce

Marketing Cloud

MuleSoft

Pardot

Quip

Sales Cloud

Salesforce コア

Salesforce Einstein

Service Cloud

Slack

Tableau

2021 年 10 月 4 日の CERT Coordination Center の注意喚起 (VU#883754) への対応 

Salesforce Developer Experience Command Line Interface の設定

ADV-2021-017

ADV-2021-016

2021 年 10 月 24 日の Microsoft ブログ投稿への対応

クラウドサービス、サプライチェーンを標的とする Nobelium 攻撃

2022 年 3 月に公開された Spring4Shell の脆弱性

Spring4Shell セキュリティ更新

Heroku に接続された GitHub リポジトリの問題

Heroku のセキュリティに関するお知らせ

Tableau Server で個人アクセストークンが内部ログリポジトリに記録される

Tableau セキュリティ更新

Tableau Server の破損したアクセス制御の脆弱性

CVE-2022-22127

マルウェアが Salesforce ユーザーを標的にする可能性がある。

TrickBot / The Trick

Windows の「Eternal Blue」という脆弱性を標的にするランサムウェア。

WannaCry ランサムウェア

フィッシングリンクを含む Google ドキュメントへの招待。

Google ドキュメントのフィッシング攻撃

Tableau ギャラリーで使用される Oracle NetSuite および SAP SuccessFactors コネクタにより Tableau オンプレミスユーザーのログインフラストラクチャのサブセットに機密データが保存される場合がある  

Oracle NetSuite および SAP SuccessFactors コネクタの問題

2021 年 12 月 10 日に公開された Apache Log4j2 の脆弱性

Apache Log4j2 の脆弱性

MS17-010 (別名 EternalBlue) 脆弱性を活用するマルウェア

MS17-010 脆弱性 (別名 EternalBlue)

埋め込みコンテンツ配信ネットワークとインターネットセキュリティサービスのプロバイダである Cloudflare は、HTTP Cookie、認証トークン、HTTP POST 本文などの情報を公開する可能性があるエッジサーバーのセキュリティ脆弱性を開示しました、

Cloudflare の脆弱性

Twitter アカウントアクティビティ API の脆弱性

Twitter アカウントアクティビティ API

組織が情報セキュリティインシデントの影響を受ける場合、組織のセキュリティ担当者に通知されます。

組織のセキュリティ担当者の管理

Mule Runtime および API ゲートウェイでのリモートコードの実行

CVE-2019-15631

Salesforce が経験していない重大なビジネスへの影響

COVID-19 ビジネスの継続性に関する声明

Mule Runtime でのサービス拒否の脆弱性

CVE-2020-6937

MuleSoft Runtime でのディレクトリトラバーサル

CVE-2019-15630

Tableau Server での機密情報開示の脆弱性

CVE-2020-6938

Salesforce Sites および Communities に影響を与えるセキュリティ脆弱性

Salesforce のセキュリティ脆弱性

ログに含まれる Tableau Server の機密値

ADV-2020-046

サーバーが再起動されるまで一部の権限変更が有効にならない

ADV-2020-047

Salesforce テーマを使用するフィッシング攻撃

フィッシング攻撃

Tableau Server のログに Webhook の URL が含まれる

ADV-2020-045

外部サービスの接続でホスト名の検証に失敗する

ADV-2020-044

ログファイルの場所に含まれる Tableau Server の機密値

ADV-2020-048

デフォルトの共有設定への潜在的な影響

コミュニティユーザー、ポータルユーザーのセキュリティの強化

リポジトリに含まれるプレーンテキストのデータソースの秘密

ADV-2020-049

REST API でサイト設定値が、認証されていないユーザーに返される

ADV-2020-050

Tableau 製品の整数のオーバーフロー

ADV-2020-051

ADV-2020-053

Tableau Server では Web ゾーンで外部 Web ページが許可される

ADV-2020-052

Tableau Desktop ではプレーンテキストの秘密が設定ファイルに保存される

ADV-2020-054

認証されていない API エンドポイント

CVE-2020-6939

一時ファイルのファイルパスの開示

ADV-2020-057

ADV-2020-056

ログファイルに含まれるデータベースログイン情報

ADV-2020-055

Tableau による QtWebEngine の脆弱性の修正

ADV-2020-059

デフォルト Tableau Server インストールでの脆弱なフォルダ権限

ADV-2020-060

Tableau 製品での権限のエスカレーション

ADV-2020-058

デフォルト以外の Tableau Server インストールでの脆弱なフォルダ権限)

ADV-2020-061

Tableau Server で Postgres リポジトリパスワードが記録される

ADV-2021-005

ADV-2021-004

IPv6 ネットワークでの認証のスキップ

ADV-2021-003

映し出されたエラーメッセージコンテンツの挿入

ADV-2021-001

ADV-2021-002

データベースパスワードがデバッグログに記録される

ADV-2021-007

連邦政府と Fortune 500 企業がサプライチェーン攻撃によって侵害される

SolarWinds ソフトウェアのセキュリティ侵害

ADV-2021-008

Tableau Server の開かれたリダイレクト

ADV-2021-010

Mule Runtime でのサーバーサイドリクエストフォージェリ

CVE-2021-1627

Tableau Server でのサービス拒否の脆弱性

ADV-2021-011

2021 年 3 月 2 日に公開された Microsoft Exchange Server の脆弱性 

Microsoft Exchange Server の脆弱性

ADV-2021-009

Bash Uploader ユーザーの秘密が攻撃者によって侵害される

Codecov Bash Uploader のセキュリティ侵害

ADV-2021-013

メールの HTML インジェクション

ADV-2021-012

2021 年 7 月 2 日の Kaseya VSA ランサムウェア攻撃


Kaseya ランサムウェア攻撃

Mule Runtime でのリモートコードの実行の脆弱性

CVE-2021-1626

初期 SQL を使用するときの不適切なデータキャッシュアクセス制御

ADV-2021-015

設定内で一部の秘密が暗号化されない

ADV-2021-006

2021 年 8 月 10 日の Varonis ブログ投稿への対応

Salesforce サイトおよびコミュニティのゲストユーザーアクセス制御権限の設定

Mule Runtime での XML 外部エンティティ (XXE) の脆弱性

CVE-2021-1628

CVE-2021-1630

Tableau Server 管理エージェントに影響を与える問題

CVE-2022-22128

お客様が Salesforce 製品のセキュリティ評価を実施する前に、事前の承認を得る必要がなくなりました。

セキュリティ評価

脆弱性は、MOVEit のファイル転送製品および環境への不正アクセスにつながる可能性があります。現時点で Salesforce の顧客データへの影響はありません。6 月 16 日、重要度の高い追加の脆弱性 (末尾 708) が発表されました。7 月 5 日、末尾 932、933、934 の CVE が発表されました。

CVE-2023-34362、CVE-2023-35036、CVE-2023-35708、CVE-2023-36932、CVE-2023-36933、CVE-2023-36934

Tableau Python サーバー (TabPy) のインストールは、認証なしで任意の Python コードを実行するように設定できます。影響を受ける製品: TabPy 2.8.0 以前のバージョン

JavaScript vulnerability affecting the Salesforce tough-cookie open-source NPM project, which could allow a malicious actor to attach cookie data to a global namespace.

CVE-2023-26136

Server-side request forgery vulnerability which could allow a malicious actor to authenticate into instances of Tableau Server to access customers’ hosted data.

Tableau Security Notification

Salesforce is actively investigating CVE-2023-46604 for potential impact and implementing mitigations where necessary.  Salesforce will continue to follow its vulnerability management process, and should we discover evidence of unauthorized access to customer data, will notify impacted parties without undue delay.

CVE-2023-46604

On November 2, 2023, Salesforce Security was notified of CVE-2023-46604, a remote code execution (RCE) vulnerability impacting Apache ActiveMQ clients.

On May 11, 2023, a Local File Inclusion (LFI) security vulnerability was reported via our Advanced Server Access (ASA) Program.


セキュリティアドバイザリ