CRITICAL🇬🇧 English

CVE-2026-22585

Salesforce Marketing Cloud Engagement — słaby algorytm kryptograficzny (RCE-class)

CVSS 9.8v3.1pub. 2026-01-24upd. 2026-02-12

Podatność w Salesforce Marketing Cloud Engagement polega na użyciu przestarzałego lub podatnego algorytmu kryptograficznego w kilku modułach platformy, co umożliwia manipulację protokołami usług sieciowych. Krytyczny wynik CVSS 9.8 wskazuje, że atak nie wymaga uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

Use of a Broken or Risky Cryptographic Algorithm vulnerability in Salesforce Marketing Cloud Engagement (CloudPages, Forward to a Friend, Profile Center, Subscription Center, Unsub Center, View As Webpage modules) allows Web Services Protocol Manipulation. This issue affects Marketing Cloud Engagement: before January 21st, 2026.

🤖 Analiza AI
Jak działa

Zgodnie z CWE-327 (Use of a Broken or Risky Cryptographic Algorithm) podatność wynika z zastosowania niebezpiecznego algorytmu kryptograficznego w modułach CloudPages, Forward to a Friend, Profile Center, Subscription Center, Unsub Center oraz View As Webpage. Słaba kryptografia pozwala atakującemu na manipulację komunikacją z usługami sieciowymi (Web Services Protocol Manipulation), co może obejmować podrabianie, modyfikację lub odszyfrowanie chronionych danych przesyłanych przez te moduły. Atak jest możliwy zdalnie, przez sieć, bez konieczności posiadania uprawnień ani angażowania ofiary.

Skutki

Atakujący może uzyskać pełną kontrolę nad poufnością, integralnością i dostępnością danych przetwarzanych przez podatne moduły — w tym potencjalnie przejąć lub zmodyfikować dane subskrybentów i konfigurację kampanii marketingowych.

Mitygacja

Salesforce wdrożył poprawkę po stronie serwera z datą 21 stycznia 2026 r. — środowiska SaaS powinny być automatycznie zaktualizowane. Administratorzy powinni zweryfikować wersję swojego środowiska oraz postępować zgodnie z zaleceniami producenta dostępnymi pod adresem: https://help.salesforce.com/s/articleView?id=005299346&type=1

Kogo dotyczy

Salesforce Marketing Cloud Engagement we wszystkich wersjach przed 21 stycznia 2026 r. — moduły: CloudPages, Forward to a Friend, Profile Center, Subscription Center, Unsub Center, View As Webpage.

Uwagi

Podatność dotyczy wyłącznie środowisk Salesforce Marketing Cloud Engagement w modelu SaaS; poprawka została wdrożona po stronie producenta w dniu 21 stycznia 2026 r. Brak wpisu w CISA KEV na dzień publikacji CVE.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Salesforce Marketing Cloud Engagement

    APP
    Salesforce
    < 2026-01-21
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-22582CRITICAL9.8PL ✓ten sam produkt

Argument Injection w Salesforce Marketing Cloud Engagement (MicrositeUrl)

CVE-2026-22583CRITICAL9.8PL ✓ten sam produkt

Argument Injection w Salesforce Marketing Cloud Engagement (CloudPagesUrl)

CVE-2026-22586CRITICAL9.8PL ✓ten sam produkt

Zahardkodowany klucz kryptograficzny w Salesforce Marketing Cloud Engagement

CVE-2026-22584CRITICAL9.8PL ✓ten sam vendor

Code Injection w Salesforce Uni2TS — zdalne wykonanie kodu

CVE-2021-1626CRITICAL9.8ten sam vendor

MuleSoft is aware of a Remote Code Execution vulnerability affecting certain versions of a Mule runtime compon...