CRITICAL🇬🇧 English

CVE-2026-22586

Zahardkodowany klucz kryptograficzny w Salesforce Marketing Cloud Engagement

CVSS 9.8v3.1pub. 2026-01-24upd. 2026-05-15

W module Salesforce Marketing Cloud Engagement wykryto zahardkodowany klucz kryptograficzny (CWE-321), który umożliwia manipulację protokołami usług sieciowych. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co czyni ją jedną z poważniejszych luk w tej platformie.

Pokaż oryginał (EN)

Hard-coded Cryptographic Key vulnerability in Salesforce Marketing Cloud Engagement (CloudPages, Forward to a Friend, Profile Center, Subscription Center, Unsub Center, View As Webpage modules) allows Web Services Protocol Manipulation. This issue affects Marketing Cloud Engagement: before January 21st, 2026.

🤖 Analiza AI
Jak działa

Podatność wynika z zastosowania statycznego, wbudowanego na stałe w kod klucza kryptograficznego w kilku modułach platformy: CloudPages, Forward to a Friend, Profile Center, Subscription Center, Unsub Center oraz View As Webpage. Atakujący, znając lub odtwarzając ten klucz, może manipulować komunikacją opartą na protokołach usług sieciowych (Web Services Protocol Manipulation). Ponieważ klucz jest wspólny dla wszystkich instalacji, jego kompromitacja dotyczy potencjalnie wszystkich użytkowników korzystających z podatnych modułów. Atak nie wymaga uwierzytelnienia ani interakcji użytkownika.

Skutki

Atakujący może uzyskać pełną kontrolę nad poufnością, integralnością i dostępnością danych przetwarzanych przez podatne moduły, co może prowadzić do nieautoryzowanego odczytu, modyfikacji lub usunięcia danych marketingowych i klientów.

Mitygacja

Salesforce wydał poprawkę z datą 21 stycznia 2026 roku. Należy upewnić się, że środowisko Marketing Cloud Engagement zostało zaktualizowane do wersji po tej dacie. Szczegółowe informacje dostępne są w artykule pomocy technicznej Salesforce pod adresem wskazanym w referencjach (ID: 005299346). Zaleca się również weryfikację logów dostępu do podatnych modułów w celu wykrycia ewentualnych prób nieautoryzowanego dostępu.

Kogo dotyczy

Salesforce Marketing Cloud Engagement we wszystkich wersjach wydanych przed 21 stycznia 2026 roku, w modułach: CloudPages, Forward to a Friend, Profile Center, Subscription Center, Unsub Center, View As Webpage.

Uwagi

Podatność dotyczy środowisk SaaS — zastosowanie patcha jest po stronie dostawcy (Salesforce). Administratorzy powinni potwierdzić u Salesforce, że ich instancja Marketing Cloud Engagement została zaktualizowana do wersji po 21 stycznia 2026 roku.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Salesforce Marketing Cloud Engagement

    APP
    Salesforce
    < 2026-01-21
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-22582CRITICAL9.8PL ✓ten sam produkt

Argument Injection w Salesforce Marketing Cloud Engagement (MicrositeUrl)

CVE-2026-22583CRITICAL9.8PL ✓ten sam produkt

Argument Injection w Salesforce Marketing Cloud Engagement (CloudPagesUrl)

CVE-2026-22585CRITICAL9.8PL ✓ten sam produkt

Salesforce Marketing Cloud Engagement — słaby algorytm kryptograficzny (RCE-class)

CVE-2026-22584CRITICAL9.8PL ✓ten sam vendor

Code Injection w Salesforce Uni2TS — zdalne wykonanie kodu

CVE-2021-1626CRITICAL9.8ten sam vendor

MuleSoft is aware of a Remote Code Execution vulnerability affecting certain versions of a Mule runtime compon...