ClickSoftware

Commerce Cloud

Experience Cloud

Heroku

Hyperforce

Marketing Cloud

MuleSoft

Pardot

Quip

Sales Cloud

Salesforce Core

Salesforce Einstein

Service Cloud

Slack

Tableau

对 2021 年 10 月 4 日 CERT 协调中心说明的回复 (VU#883754) 

Salesforce Developer Experience 命令行界面的配置

ADV-2021-017

ADV-2021-016

对 2021 年 10 月 24 日 Microsoft 博客贴文的回复

以云服务和供应链为目标的 Nobelium 黑客攻击

2022 年 3 月发布的 Spring4Shell 漏洞

Spring4Shell 安全更新

Heroku 安全通知

Tableau 服务器将个人访问令牌记录到内部日志存储库中

Tableau 安全更新

Tableau 服务器中被破坏的访问控制漏洞

CVE-2022-22127

恶意软件可能将 Salesforce 用户视为攻击目标。

TrickBot / The Trick

以 Windows“永恒之蓝”漏洞为目标的勒索软件。

WannaCry 勒索软件

包含网络钓鱼链接的 Google Docs 邀请。

Google Docs 网络钓鱼攻击活动

Tableau Gallery 中使用的 Oracle NetSuite 和 SAP SuccessFactors 连接器可能将敏感数据存储在 Tableau 本地客户的日志基础设施的子集中  

Oracle NetSuite 和 SAP SuccessFactors 连接器问题

2021 年 12 月 10 日发布的 Apache Log4j2 漏洞

Apache Log4j2 漏洞

利用 MS17-010（又称 EternalBlue）漏洞的恶意软件

MS17-010 漏洞（又称 EternalBlue）

Cloudflare 是一家嵌入式内容交付网络和互联网安全服务提供商，该公司在其边缘服务器上披露了一个安全漏洞，该漏洞可能会暴露 HTTP cookie、身份验证令牌和 HTTP POST 正文等信息。

Cloudflare 漏洞

Twitter 帐户活动 API

如果您的组织受到信息安全事件的影响，将通知组织的安全联系人。

管理组织的安全联系人

Mule 运行时和 API 网关远程代码执行漏洞

CVE-2019-15631

Salesforce 没有受到任何重大业务影响

COVID-19 业务连续性声明

CVE-2020-6937

CVE-2019-15630

Tableau 服务器中的敏感信息泄露漏洞

CVE-2020-6938

安全漏洞对 Salesforce 站点和社区的影响

Salesforce 安全漏洞

日志中包含 Tableau 服务器敏感信息

ADV-2020-046

某些权限更改需要重启服务器才能生效

ADV-2020-047

Salesforce 主题的网络钓鱼攻击活动

网络钓鱼攻击活动

Tableau 服务器日志包含 Webhook URL

ADV-2020-045

ADV-2020-044

日志文件位置信息中包含 Tableau 服务器敏感值

ADV-2020-048

增强社区和门户用户的安全性

存储库中记录了明文数据源保密信息

ADV-2020-049

REST API 向未经身份验证的用户返回一个站点配置值

ADV-2020-050

ADV-2020-051

ADV-2020-053

Tableau 服务器允许 Web 区域存在外部 Web 页面

ADV-2020-052

Tableau Desktop 在配置文件中存储明文保密信息

ADV-2020-054

CVE-2020-6939

ADV-2020-057

ADV-2020-056

日志文件中记录数据库登录凭据

ADV-2020-055

ADV-2020-059

Tableau 服务器默认安装文件夹权限较弱

ADV-2020-060

ADV-2020-058

Tableau 服务器非默认安装文件夹权限较弱

ADV-2020-061

Tableau 服务器将 Postgres 数据存储库密码记入日志

ADV-2021-005

ADV-2021-004

ADV-2021-003

ADV-2021-001

ADV-2021-002

ADV-2021-007

联邦政府和财富 500 强公司受到供应链攻击

SolarWinds 软件数据泄露

ADV-2021-008

ADV-2021-010

CVE-2021-1627

ADV-2021-011

2021 年 3 月 2 日发布的 Microsoft Exchange Server 漏洞 

Microsoft Exchange Server 漏洞

ADV-2021-009

Bash Uploader 用户的机密信息被威胁实施者泄露

Codecov Bash Uploader 数据泄露

ADV-2021-013

ADV-2021-012

2021 年 7 月 2 日发生的 Kaseya VSA 勒索软件攻击


Kaseya 勒索软件攻击

CVE-2021-1626

首次使用 SQL 时出现的数据缓存访问控制不正确的问题

ADV-2021-015

ADV-2021-006

对 2021 年 8 月 10 日 Varonis 博客贴文的回复

Salesforce 站点和社区访客用户访问控制权限的配置

Mule 运行时 XML 外部实体 (XXE) 漏洞

CVE-2021-1628

CVE-2021-1630

影响 Tableau 服务器管理代理的问题

CVE-2022-22128

对 Salesforce 产品进行安全评估之前不再要求客户事先获得批准。

安全评估

漏洞可能导致对 MOVEit 文件传输产品和环境的未授权访问。目前对 Salesforce 客户数据没有影响。6 月 16 日，又公布了一个严重的漏洞（以 708 结尾）。7 月 5 日，公布了 932、933 和 934 结尾的 CVE。

CVE-2023-34362, CVE-2023-35036, CVE-2023-35708, CVE-2023-36932, CVE-2023-36933, CVE-2023-36934

Tableau Python 服务器 (TabPy) 安装可以配置为在不进行身份验证的情况下执行任意 Python 代码。影响的产品：TabPy 2.8.0 及更早的版本。

影响 Salesforce 硬 cookie 开源 NPM 项目的 JavaScript 漏洞，它可能允许恶意行为者将 cookie 数据附加到全局命名空间。

CVE-2023-26136

服务器端请求伪造漏洞，允许恶意行为者通过身份验证进入 Tableau 服务器的实例来访问客户的托管数据。

Tableau 安全通知

Salesforce 正在积极调查 CVE-2023-46604 的潜在影响，并会在必要时实施缓解措施。Salesforce 将继续遵循其漏洞管理流程，如果我们发现未经授权访问客户数据的证据，我们将立即通知受影响的各方。

CVE-2023-46604

2023 年 11 月 2 日，Salesforce 安全性部门收到了 CVE-2023-46604 的通知，这是一个影响 Apache ActiveMQ 客户端的远程代码执行 (RCE) 漏洞。

2023 年 5 月 11 日，我们的高级服务器访问 (ASA) 计划报告了一个本地文件包含 (LFI) 安全漏洞。


影响本地 Tableau 服务器的本地文件包含 (LFI) 漏洞

Salesforce 安全性发现了一个影响 Tableau 流编辑器功能中电子邮件通知功能的漏洞。由于此问题，经过身份验证的用户可以在客户的 Tableau Server 实例上执行任意命令。我们将 CVSSv3 评分定为 9.1。

影响 Tableau Server 某些版本的本地文件包含 (LFI) 漏洞

为了增强安全功能并帮助防止滥用免费试用组织，2024 年 10 月 8 日，我们暂时禁用了核心 CRM 产品试用的用户发起的电子邮件功能，这不包括活跃客户或其他 Salesforce 产品。



用户电子邮件功能暂时中断

Tableau 允许通过指定特定值是包含在查询中还是排除在查询外的筛选功能，对数据库字段实施行级访问控制。由于访问控制被破坏，如果在最初筛选字段后向字段添加了新值，在受影响的版本中，启用了筛选压缩功能的工作簿字段会在数据可视化中公开。Tableau 在 11 月维护版的 Tableau Cloud 和 Server 中默认禁用了筛选压缩功能。

 

Tableau 行级访问控制的安全性问题

Salesforce strongly recommends that customers transition from RSA key exchanges to TLS 1.3 to enhance the security and efficiency of network communications. 

Transition from RSA Key Exchanges to TLS 1.3

User accounts without multi-factor authentication (MFA), IP restrictions, and/or that use weak credentials are at risk of being compromised by bad actors. See the Help article attached for an overview on how you can use customizable settings or implement Shield Event Monitoring to protect your user accounts. 

安全通告