Podatność typu argument injection w module CloudPagesUrl produktu Salesforce Marketing Cloud Engagement umożliwia manipulację protokołami usług sieciowych (Web Services Protocol Manipulation). Krytyczny poziom CVSS 9.8 oznacza możliwość ataku bez uwierzytelnienia, zdalnie i bez interakcji użytkownika.
▸ Pokaż oryginał (EN)
Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') vulnerability in Salesforce Marketing Cloud Engagement (CloudPagesUrl module) allows Web Services Protocol Manipulation. This issue affects Marketing Cloud Engagement: before January 21st, 2026.
Błąd polega na niewłaściwym neutralizowaniu separatorów argumentów w poleceniu (CWE-88). Atakujący może przekazać do modułu CloudPagesUrl spreparowane dane zawierające dodatkowe argumenty, które nie są odpowiednio filtrowane ani izolowane. W efekcie możliwe jest wstrzyknięcie nieautoryzowanych argumentów do wywołań usług sieciowych, co pozwala na manipulację ich zachowaniem w sposób niezamierzony przez twórców oprogramowania.
Atakujący może uzyskać nieautoryzowany dostęp do danych (naruszenie poufności), zmodyfikować lub sfałszować dane przetwarzane przez usługi (naruszenie integralności) oraz potencjalnie zakłócić ich działanie (naruszenie dostępności) — wszystkie trzy aspekty ocenione jako wysokie w wektorze CVSS.
Salesforce wdrożył poprawkę po stronie serwera z dniem 21 stycznia 2026 roku. Administratorzy powinni zweryfikować, czy ich instancja Marketing Cloud Engagement została zaktualizowana do wersji wydanej po tej dacie, oraz zapoznać się ze szczegółami dostępnymi w oficjalnym artykule pomocy technicznej Salesforce (ID: 005299346).
Salesforce Marketing Cloud Engagement we wszystkich wersjach przed 21 stycznia 2026 roku (dotyczy modułu CloudPagesUrl).
Poprawka została wdrożona przez Salesforce po stronie infrastruktury producenta w dniu 21 stycznia 2026 roku — klienci korzystający z usługi w modelu SaaS mogą nie wymagać samodzielnego działania, jednak zaleca się weryfikację zgodnie z referencją producenta.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSalesforce Marketing Cloud Engagement
APPSalesforce< 2026-01-21
Powiązane podatności
Argument Injection w Salesforce Marketing Cloud Engagement (MicrositeUrl)
Salesforce Marketing Cloud Engagement — słaby algorytm kryptograficzny (RCE-class)
Zahardkodowany klucz kryptograficzny w Salesforce Marketing Cloud Engagement
Code Injection w Salesforce Uni2TS — zdalne wykonanie kodu
MuleSoft is aware of a Remote Code Execution vulnerability affecting certain versions of a Mule runtime compon...