ClickSoftware

Commerce Cloud

Experience Cloud

Heroku

Hyperforce

Marketing Cloud

MuleSoft

Pardot

Quip

Sales Cloud

Salesforce Core

Salesforce Einstein

Service Cloud

Slack

Tableau

2021 年 10 月 4 日 憑證協調中心附註回應 (VU#883754) 

Salesforce 開發人員體驗命令列介面組態

ADV-2021-017

ADV-2021-016

2021 年 10 月 24 日 Microsoft 部落格文章回應

Nobelium 針對雲端服務和供應鏈的攻擊

2022 年 3 月發佈的 Spring4Shell 弱點

Spring4Shell 安全性更新

與 Heroku 問題相連的 GitHub 儲存庫

Heroku 安全性通知

Tableau 伺服器將個人存取權杖記錄於內部記錄儲存庫中

Tableau 安全性更新

Tableau 伺服器中損壞的存取權控制弱點

CVE-2022-22127

惡意程式碼可能會攻擊 Salesforce 的使用者。

TrickBot / The Trick

勒索軟體攻擊 Windows "Eternal Blue" 弱點。

WannaCry 勒索軟體

Google 文件邀請包含網路釣魚連結。

Google 文件網路釣魚活動

用於 Tableau Gallery 的 Oracle NetSuite 和 SAP SuccessFactors 連接器，可能在 Tableau 內部部署的客戶記錄基礎結構子集中儲存敏感資料  

Oracle NetSuite 和 SAP SuccessFactors 連接器問題

2021 年 12 月 10 日發佈的 Apache Log4j2 弱點

Apache Log4j2 弱點

惡意程式碼利用 MS17-010 (又稱 EternalBlue) 弱點

MS17-010 弱點 (又稱 EternalBlue)

Cloudflare 為內嵌內容傳送網路和網際網路安全性服務的提供者，披露其 Edge 伺服器中的安全性弱點，可能會暴露例如 HTTP Cookie、驗證權杖以及 HTTP POST 主體等資訊。

Cloudflare 弱點

Twitter 帳戶活動 API

安全性聯絡人會在公司遭受資訊安全性事件的影響時接收通知。

為您的公司管理安全性聯絡人

Mule 執行階段和 API 閘道中的遠端代碼執行

CVE-2019-15631

COVID-19 企業永續能力聲明

Mule 執行階段中的拒絕服務弱點

CVE-2020-6937

CVE-2019-15630

Tableau 伺服器中的敏感資訊披露弱點

CVE-2020-6938

Salesforce 網站和社群遭受的安全性弱點影響

Salesforce 安全性弱點

ADV-2020-046

部份權限變更僅在重新啟動伺服器後生效

ADV-2020-047

以 Salesforce 為主題的網路釣魚活動

網路釣魚活動

Tableau 伺服器記錄包含 Webhook URL

ADV-2020-045

外部服務連結無法驗證主機名稱

ADV-2020-044

記錄檔位置中的 Tableau 伺服器敏感值

ADV-2020-048

增強社群和入口網頁使用者的安全性

存放庫中的純文字資料來源機密

ADV-2020-049

REST API 將網站組態值傳回至未驗證的使用者

ADV-2020-050

ADV-2020-051

ADV-2020-053

Tableau 伺服器在網路區域中允許外部網頁

ADV-2020-052

Tableau Desktop 在組態檔中儲存純文字機密

ADV-2020-054

CVE-2020-6939

ADV-2020-057

ADV-2020-056

ADV-2020-055

ADV-2020-059

Tableau 伺服器的預設安裝弱資料夾權限

ADV-2020-060

ADV-2020-058

Tableau 伺服器的非預設安裝弱資料夾權限

ADV-2020-061

Tableau 伺服器記錄 Postgres 存放庫密碼

ADV-2021-005

ADV-2021-004

ADV-2021-003

ADV-2021-001

ADV-2021-002

ADV-2021-007

聯邦政府和前 500 大企業遭受供應鏈攻擊的危害

SolarWinds 軟體危害

ADV-2021-008

ADV-2021-010

Mule 執行階段中的伺服器端偽造要求

CVE-2021-1627

ADV-2021-011

Microsoft Exchange 伺服器弱點於 2021 年 3 月 2 日發佈 

Microsoft Exchange 伺服器弱點

ADV-2021-009

Bash 上傳程式的使用者機密遭受威脅分子的危害

Codecov Bash 上傳程式的危害

ADV-2021-013

ADV-2021-012

2021 年 7 月 2 日 Kaseya VSA 勒索軟體攻擊


Kaseya 勒索軟體攻擊

Mule 執行階段中的遠端代碼執行弱點

CVE-2021-1626

使用初始 SQL 時不正確的資料快取存取權控制

ADV-2021-015

ADV-2021-006

2021 年 8 月 10 日 Varonis 部落格文章回應

Salesforce 網站和社群來賓使用者的存取權控制權限組態

Mule 執行階段中的 XML 外部實體 (XXE) 弱點

CVE-2021-1628

CVE-2021-1630

影響 Tableau 伺服器管理工作人員的問題

CVE-2022-22128

客戶在執行 Salesforce 產品的安全性評估前不再需要取得預先核准。

安全性評估

弱點可能導致 MOVEit 檔案轉換產品和環境遭到未經授權的存取。Salesforce 客戶資料目前不受影響。在 6 月 16 日，已宣布其他重大弱點 (結尾為 708)。在 7 月 5 日，已宣布結尾為 932、933 和 934 的 CVE。

CVE-2023-34362、CVE-2023-35036、CVE-2023-35708, CVE-2023-36932、CVE-2023-36933、CVE-2023-36934

Tableau Python 伺服器 (TabPy) 安裝可能會設定為在未驗證的情況下執行任意 Python 程式碼。受影響的產品：TabPy 2.8.0 和更早版本。

影響 Salesforce tough-cookie open-source NPM 專案的 JavaScript 弱點，可能允許惡意攻擊者將 Cookie 資料附加到全域命名空間。

CVE-2023-26136

伺服器端要求偽造弱點，可能允許惡意行為者透過驗證進入 Tableau Server 例項以存取客戶託管的資料。

Tableau 安全性通知

Salesforce 正在積極調查 CVE-2023-46604 的潛在影響，並在必要時實施緩解措施。Salesforce 將繼續遵循其弱點管理流程，如果我們發現未經授權存取客戶資料的證據，將立即通知受影響的各方。

CVE-2023-46604

2023 年 11 月 2 日，Salesforce 安全性收到 CVE-2023-46604 的通知，這是影響 Apache ActiveMQ 用戶端的遠端程式碼執行 (RCE) 弱點。

2023 年 5 月 11 日，我們的進階伺服器存取 (ASA) 計畫報告了本地文件包含 (LFI) 安全弱點。


影響本機 Tableau 伺服器的本機檔案包含 (LFI) 弱點

Salesforce Security discovered a vulnerability affecting the email notification functionality of Tableau's Flow Editor feature. As a result of this issue, an authenticated user could execute arbitrary commands on customers’ instances of Tableau Server. We assigned the CVSSv3 score as 9.1.

Local File Inclusion (LFI) vulnerability impacting some versions of Tableau Server

To enhance the security functionality and help prevent abuse of free trial orgs, on October 8, 2024, we temporarily disabled user-initiated email functionality for Core CRM Product Trials  – this does not include Active customers or other Salesforce products.



安全性公告