CRITICAL🇬🇧 English

CVE-2026-22582

Argument Injection w Salesforce Marketing Cloud Engagement (MicrositeUrl)

CVSS 9.8v3.1pub. 2026-01-24upd. 2026-02-12

Podatność typu argument injection w module MicrositeUrl platformy Salesforce Marketing Cloud Engagement umożliwia manipulację protokołami usług sieciowych (Web Services Protocol Manipulation). Krytyczny poziom zagrożenia (CVSS 9.8) wynika z faktu, że atak nie wymaga uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') vulnerability in Salesforce Marketing Cloud Engagement (MicrositeUrl module) allows Web Services Protocol Manipulation. This issue affects Marketing Cloud Engagement: before January 21st, 2026.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej neutralizacji znaków rozdzielających argumenty w poleceniu (CWE-88 — Argument Injection). Atakujący może dostarczyć specjalnie spreparowane dane wejściowe do modułu MicrositeUrl, które są następnie interpretowane jako dodatkowe argumenty polecenia lub parametry wywołania usługi. W efekcie możliwe jest manipulowanie zachowaniem usług sieciowych w sposób nieprzewidziany przez aplikację.

Skutki

Atakujący zdalny, nieuwierzytelniony może uzyskać pełen dostęp do poufności, integralności i dostępności zasobu — co odpowiada ocenom C:H/I:H/A:H w wektorze CVSS. Możliwe jest nieautoryzowane odczytanie, modyfikacja lub zniszczenie danych oraz zakłócenie działania usługi.

Mitygacja

Salesforce wdrożył poprawkę w dniu 21 stycznia 2026 r. Należy upewnić się, że używana instancja Marketing Cloud Engagement jest zaktualizowana do wersji po tej dacie. Szczegóły dostępne w artykule pomocy Salesforce (ID: 005299346).

Kogo dotyczy

Salesforce Marketing Cloud Engagement (moduł MicrositeUrl) — wszystkie wersje przed 21 stycznia 2026 r.

Uwagi

Podatność dotyczy wersji przed 21 stycznia 2026 r. — data graniczna patcha pochodzi wprost z opisu oryginalnego.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Salesforce Marketing Cloud Engagement

    APP
    Salesforce
    < 2026-01-21
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-22583CRITICAL9.8PL ✓ten sam produkt

Argument Injection w Salesforce Marketing Cloud Engagement (CloudPagesUrl)

CVE-2026-22585CRITICAL9.8PL ✓ten sam produkt

Salesforce Marketing Cloud Engagement — słaby algorytm kryptograficzny (RCE-class)

CVE-2026-22586CRITICAL9.8PL ✓ten sam produkt

Zahardkodowany klucz kryptograficzny w Salesforce Marketing Cloud Engagement

CVE-2026-22584CRITICAL9.8PL ✓ten sam vendor

Code Injection w Salesforce Uni2TS — zdalne wykonanie kodu

CVE-2021-1626CRITICAL9.8ten sam vendor

MuleSoft is aware of a Remote Code Execution vulnerability affecting certain versions of a Mule runtime compon...