ClickSoftware

Commerce Cloud

Experience Cloud

Heroku

Hyperforce

Marketing Cloud

MuleSoft

Pardot

Quip

Sales Cloud

Salesforce Core

Salesforce Einstein

Service Cloud

Slack

Tableau

对 2021 年 10 月 4 日 CERT 协调中心说明的回复 (VU#883754) 

Salesforce Developer Experience 命令行界面的配置

ADV-2021-017

ADV-2021-016

对 2021 年 10 月 24 日 Microsoft 博客贴文的回复

以云服务和供应链为目标的 Nobelium 黑客攻击

2022 年 3 月发布的 Spring4Shell 漏洞

Spring4Shell 安全更新

Heroku 安全通知

Tableau 服务器将个人访问令牌记录到内部日志存储库中

Tableau 安全更新

Tableau 服务器中被破坏的访问控制漏洞

CVE-2022-22127

恶意软件可能将 Salesforce 用户视为攻击目标。

TrickBot / The Trick

以 Windows“永恒之蓝”漏洞为目标的勒索软件。

WannaCry 勒索软件

包含网络钓鱼链接的 Google Docs 邀请。

Google Docs 网络钓鱼攻击活动

Tableau Gallery 中使用的 Oracle NetSuite 和 SAP SuccessFactors 连接器可能将敏感数据存储在 Tableau 本地客户的日志基础设施的子集中  

Oracle NetSuite 和 SAP SuccessFactors 连接器问题

2021 年 12 月 10 日发布的 Apache Log4j2 漏洞

Apache Log4j2 漏洞

利用 MS17-010（又称 EternalBlue）漏洞的恶意软件

MS17-010 漏洞（又称 EternalBlue）

Cloudflare 是一家嵌入式内容交付网络和互联网安全服务提供商，该公司在其边缘服务器上披露了一个安全漏洞，该漏洞可能会暴露 HTTP cookie、身份验证令牌和 HTTP POST 正文等信息。

Cloudflare 漏洞

Twitter 帐户活动 API

如果您的组织受到信息安全事件的影响，将通知组织的安全联系人。

管理组织的安全联系人

Mule 运行时和 API 网关远程代码执行漏洞

CVE-2019-15631

Salesforce 没有受到任何重大业务影响

COVID-19 业务连续性声明

CVE-2020-6937

CVE-2019-15630

Tableau 服务器中的敏感信息泄露漏洞

CVE-2020-6938

安全漏洞对 Salesforce 站点和社区的影响

Salesforce 安全漏洞

日志中包含 Tableau 服务器敏感信息

ADV-2020-046

某些权限更改需要重启服务器才能生效

ADV-2020-047

Salesforce 主题的网络钓鱼攻击活动

网络钓鱼攻击活动

Tableau 服务器日志包含 Webhook URL

ADV-2020-045

ADV-2020-044

日志文件位置信息中包含 Tableau 服务器敏感值

ADV-2020-048

增强社区和门户用户的安全性

存储库中记录了明文数据源保密信息

ADV-2020-049

REST API 向未经身份验证的用户返回一个站点配置值

ADV-2020-050

ADV-2020-051

ADV-2020-053

Tableau 服务器允许 Web 区域存在外部 Web 页面

ADV-2020-052

Tableau Desktop 在配置文件中存储明文保密信息

ADV-2020-054

CVE-2020-6939

ADV-2020-057

ADV-2020-056

日志文件中记录数据库登录凭据

ADV-2020-055

ADV-2020-059

Tableau 服务器默认安装文件夹权限较弱

ADV-2020-060

ADV-2020-058

Tableau 服务器非默认安装文件夹权限较弱

ADV-2020-061

Tableau 服务器将 Postgres 数据存储库密码记入日志

ADV-2021-005

ADV-2021-004

ADV-2021-003

ADV-2021-001

ADV-2021-002

ADV-2021-007

联邦政府和财富 500 强公司受到供应链攻击

SolarWinds 软件数据泄露

ADV-2021-008

ADV-2021-010

CVE-2021-1627

ADV-2021-011

2021 年 3 月 2 日发布的 Microsoft Exchange Server 漏洞 

Microsoft Exchange Server 漏洞

ADV-2021-009

Bash Uploader 用户的机密信息被威胁实施者泄露

Codecov Bash Uploader 数据泄露

ADV-2021-013

ADV-2021-012

2021 年 7 月 2 日发生的 Kaseya VSA 勒索软件攻击


Kaseya 勒索软件攻击

CVE-2021-1626

首次使用 SQL 时出现的数据缓存访问控制不正确的问题

ADV-2021-015

ADV-2021-006

对 2021 年 8 月 10 日 Varonis 博客贴文的回复

Salesforce 站点和社区访客用户访问控制权限的配置

Mule 运行时 XML 外部实体 (XXE) 漏洞

CVE-2021-1628

CVE-2021-1630

影响 Tableau 服务器管理代理的问题

CVE-2022-22128

对 Salesforce 产品进行安全评估之前不再要求客户事先获得批准。

安全评估

漏洞可能导致对 MOVEit 文件传输产品和环境的未授权访问。目前对 Salesforce 客户数据没有影响。6 月 16 日，又公布了一个严重的漏洞（以 708 结尾）。7 月 5 日，公布了 932、933 和 934 结尾的 CVE。

CVE-2023-34362, CVE-2023-35036, CVE-2023-35708, CVE-2023-36932, CVE-2023-36933, CVE-2023-36934

Tableau Python 服务器 (TabPy) 安装可以配置为在不进行身份验证的情况下执行任意 Python 代码。影响的产品：TabPy 2.8.0 及更早的版本。

JavaScript vulnerability affecting the Salesforce tough-cookie open-source NPM project, which could allow a malicious actor to attach cookie data to a global namespace.

CVE-2023-26136

Server-side request forgery vulnerability which could allow a malicious actor to authenticate into instances of Tableau Server to access customers’ hosted data.

安全通告