Podatność w Salesforce Marketing Cloud Engagement polega na użyciu przestarzałego lub podatnego algorytmu kryptograficznego w kilku modułach platformy, co umożliwia manipulację protokołami usług sieciowych. Krytyczny wynik CVSS 9.8 wskazuje, że atak nie wymaga uwierzytelnienia ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
Use of a Broken or Risky Cryptographic Algorithm vulnerability in Salesforce Marketing Cloud Engagement (CloudPages, Forward to a Friend, Profile Center, Subscription Center, Unsub Center, View As Webpage modules) allows Web Services Protocol Manipulation. This issue affects Marketing Cloud Engagement: before January 21st, 2026.
Zgodnie z CWE-327 (Use of a Broken or Risky Cryptographic Algorithm) podatność wynika z zastosowania niebezpiecznego algorytmu kryptograficznego w modułach CloudPages, Forward to a Friend, Profile Center, Subscription Center, Unsub Center oraz View As Webpage. Słaba kryptografia pozwala atakującemu na manipulację komunikacją z usługami sieciowymi (Web Services Protocol Manipulation), co może obejmować podrabianie, modyfikację lub odszyfrowanie chronionych danych przesyłanych przez te moduły. Atak jest możliwy zdalnie, przez sieć, bez konieczności posiadania uprawnień ani angażowania ofiary.
Atakujący może uzyskać pełną kontrolę nad poufnością, integralnością i dostępnością danych przetwarzanych przez podatne moduły — w tym potencjalnie przejąć lub zmodyfikować dane subskrybentów i konfigurację kampanii marketingowych.
Salesforce wdrożył poprawkę po stronie serwera z datą 21 stycznia 2026 r. — środowiska SaaS powinny być automatycznie zaktualizowane. Administratorzy powinni zweryfikować wersję swojego środowiska oraz postępować zgodnie z zaleceniami producenta dostępnymi pod adresem: https://help.salesforce.com/s/articleView?id=005299346&type=1
Salesforce Marketing Cloud Engagement we wszystkich wersjach przed 21 stycznia 2026 r. — moduły: CloudPages, Forward to a Friend, Profile Center, Subscription Center, Unsub Center, View As Webpage.
Podatność dotyczy wyłącznie środowisk Salesforce Marketing Cloud Engagement w modelu SaaS; poprawka została wdrożona po stronie producenta w dniu 21 stycznia 2026 r. Brak wpisu w CISA KEV na dzień publikacji CVE.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSalesforce Marketing Cloud Engagement
APPSalesforce< 2026-01-21
Powiązane podatności
Argument Injection w Salesforce Marketing Cloud Engagement (MicrositeUrl)
Argument Injection w Salesforce Marketing Cloud Engagement (CloudPagesUrl)
Zahardkodowany klucz kryptograficzny w Salesforce Marketing Cloud Engagement
Code Injection w Salesforce Uni2TS — zdalne wykonanie kodu
MuleSoft is aware of a Remote Code Execution vulnerability affecting certain versions of a Mule runtime compon...