ClickSoftware

Commerce Cloud

Experience Cloud

Heroku

Hyperforce

Marketing Cloud

MuleSoft

Pardot

Quip

Sales Cloud

Salesforce Core

Salesforce Einstein

Service Cloud

Slack

Tableau

2021 年 10 月 4 日 憑證協調中心附註回應 (VU#883754) 

Salesforce 開發人員體驗命令列介面組態

ADV-2021-017

ADV-2021-016

2021 年 10 月 24 日 Microsoft 部落格文章回應

Nobelium 針對雲端服務和供應鏈的攻擊

2022 年 3 月發佈的 Spring4Shell 弱點

Spring4Shell 安全性更新

與 Heroku 問題相連的 GitHub 儲存庫

Heroku 安全性通知

Tableau 伺服器將個人存取權杖記錄於內部記錄儲存庫中

Tableau 安全性更新

Tableau 伺服器中損壞的存取權控制弱點

CVE-2022-22127

惡意程式碼可能會攻擊 Salesforce 的使用者。

TrickBot / The Trick

勒索軟體攻擊 Windows "Eternal Blue" 弱點。

WannaCry 勒索軟體

Google 文件邀請包含網路釣魚連結。

Google 文件網路釣魚活動

用於 Tableau Gallery 的 Oracle NetSuite 和 SAP SuccessFactors 連接器，可能在 Tableau 內部部署的客戶記錄基礎結構子集中儲存敏感資料  

Oracle NetSuite 和 SAP SuccessFactors 連接器問題

2021 年 12 月 10 日發佈的 Apache Log4j2 弱點

Apache Log4j2 弱點

惡意程式碼利用 MS17-010 (又稱 EternalBlue) 弱點

MS17-010 弱點 (又稱 EternalBlue)

Cloudflare 為內嵌內容傳送網路和網際網路安全性服務的提供者，披露其 Edge 伺服器中的安全性弱點，可能會暴露例如 HTTP Cookie、驗證權杖以及 HTTP POST 主體等資訊。

Cloudflare 弱點

Twitter 帳戶活動 API

安全性聯絡人會在公司遭受資訊安全性事件的影響時接收通知。

為您的公司管理安全性聯絡人

Mule 執行階段和 API 閘道中的遠端代碼執行

CVE-2019-15631

COVID-19 企業永續能力聲明

Mule 執行階段中的拒絕服務弱點

CVE-2020-6937

CVE-2019-15630

Tableau 伺服器中的敏感資訊披露弱點

CVE-2020-6938

Salesforce 網站和社群遭受的安全性弱點影響

Salesforce 安全性弱點

ADV-2020-046

部份權限變更僅在重新啟動伺服器後生效

ADV-2020-047

以 Salesforce 為主題的網路釣魚活動

網路釣魚活動

Tableau 伺服器記錄包含 Webhook URL

ADV-2020-045

外部服務連結無法驗證主機名稱

ADV-2020-044

記錄檔位置中的 Tableau 伺服器敏感值

ADV-2020-048

增強社群和入口網頁使用者的安全性

存放庫中的純文字資料來源機密

ADV-2020-049

REST API 將網站組態值傳回至未驗證的使用者

ADV-2020-050

ADV-2020-051

ADV-2020-053

Tableau 伺服器在網路區域中允許外部網頁

ADV-2020-052

Tableau Desktop 在組態檔中儲存純文字機密

ADV-2020-054

CVE-2020-6939

ADV-2020-057

ADV-2020-056

ADV-2020-055

ADV-2020-059

Tableau 伺服器的預設安裝弱資料夾權限

ADV-2020-060

ADV-2020-058

Tableau 伺服器的非預設安裝弱資料夾權限

ADV-2020-061

Tableau 伺服器記錄 Postgres 存放庫密碼

ADV-2021-005

ADV-2021-004

ADV-2021-003

ADV-2021-001

ADV-2021-002

ADV-2021-007

聯邦政府和前 500 大企業遭受供應鏈攻擊的危害

SolarWinds 軟體危害

ADV-2021-008

ADV-2021-010

Mule 執行階段中的伺服器端偽造要求

CVE-2021-1627

ADV-2021-011

Microsoft Exchange 伺服器弱點於 2021 年 3 月 2 日發佈 

Microsoft Exchange 伺服器弱點

ADV-2021-009

Bash 上傳程式的使用者機密遭受威脅分子的危害

Codecov Bash 上傳程式的危害

ADV-2021-013

ADV-2021-012

2021 年 7 月 2 日 Kaseya VSA 勒索軟體攻擊


Kaseya 勒索軟體攻擊

Mule 執行階段中的遠端代碼執行弱點

CVE-2021-1626

使用初始 SQL 時不正確的資料快取存取權控制

ADV-2021-015

ADV-2021-006

2021 年 8 月 10 日 Varonis 部落格文章回應

Salesforce 網站和社群來賓使用者的存取權控制權限組態

Mule 執行階段中的 XML 外部實體 (XXE) 弱點

CVE-2021-1628

CVE-2021-1630

影響 Tableau 伺服器管理工作人員的問題

CVE-2022-22128

客戶在執行 Salesforce 產品的安全性評估前不再需要取得預先核准。

安全性評估

弱點可能導致 MOVEit 檔案轉換產品和環境遭到未經授權的存取。Salesforce 客戶資料目前不受影響。在 6 月 16 日，已宣布其他重大弱點 (結尾為 708)。在 7 月 5 日，已宣布結尾為 932、933 和 934 的 CVE。

CVE-2023-34362、CVE-2023-35036、CVE-2023-35708, CVE-2023-36932、CVE-2023-36933、CVE-2023-36934

Tableau Python 伺服器 (TabPy) 安裝可能會設定為在未驗證的情況下執行任意 Python 程式碼。受影響的產品：TabPy 2.8.0 和更早版本。

影響 Salesforce tough-cookie open-source NPM 專案的 JavaScript 弱點，可能允許惡意攻擊者將 Cookie 資料附加到全域命名空間。

CVE-2023-26136

伺服器端要求偽造弱點，可能允許惡意行為者透過驗證進入 Tableau Server 例項以存取客戶託管的資料。

Tableau 安全性通知

Salesforce 正在積極調查 CVE-2023-46604 的潛在影響，並在必要時實施緩解措施。Salesforce 將繼續遵循其弱點管理流程，如果我們發現未經授權存取客戶資料的證據，將立即通知受影響的各方。

CVE-2023-46604

2023 年 11 月 2 日，Salesforce 安全性收到 CVE-2023-46604 的通知，這是影響 Apache ActiveMQ 用戶端的遠端程式碼執行 (RCE) 弱點。

2023 年 5 月 11 日，我們的進階伺服器存取 (ASA) 計畫報告了本地文件包含 (LFI) 安全弱點。


影響本機 Tableau 伺服器的本機檔案包含 (LFI) 弱點

Salesforce 安全性發現影響 Tableau 流程編輯器功能電子郵件通知的弱點。由於此問題，驗證的使用者無法在客戶的 Tableau 伺服器例項上執行任意程式碼。我們已將 CVSSv3 分數指派為 9.1。

影響某些 Tableau 伺服器版本的本機檔案包含 (LFI) 弱點

為了提升功能安全性並協助防止濫用免費試用版組織，在 2024 年 10 月 8 日，我們暫時停用核心 CRM 產品試用版的使用者起始電子郵件功能，這不包含啟用的客戶或其他 Salesforce 產品。



使用者電子郵件功能暫時中斷

Tableau 允許透過篩選功能對資料庫欄位實作列等級存取控制，指定在查詢中是否包含或排除特定值。由於存取控制中斷，在受影響的版本中，如果在原始篩選後將新值新增至欄位，則已啟用篩選壓縮功能的工作手冊欄位會在資料視覺效果中公開。Tableau 依預設已在 11 月維護版本中停用 Tableau Cloud 和 Server 的篩選壓縮功能。

 

Tableau 列等級存取控制的安全性問題

Salesforce strongly recommends that customers transition from RSA key exchanges to TLS 1.3 to enhance the security and efficiency of network communications. 

Transition from RSA Key Exchanges to TLS 1.3

User accounts without multi-factor authentication (MFA), IP restrictions, and/or that use weak credentials are at risk of being compromised by bad actors. See the Help article attached for an overview on how you can use customizable settings or implement Shield Event Monitoring to protect your user accounts. 

安全性公告