Podatność typu argument injection w module MicrositeUrl platformy Salesforce Marketing Cloud Engagement umożliwia manipulację protokołami usług sieciowych (Web Services Protocol Manipulation). Krytyczny poziom zagrożenia (CVSS 9.8) wynika z faktu, że atak nie wymaga uwierzytelnienia ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') vulnerability in Salesforce Marketing Cloud Engagement (MicrositeUrl module) allows Web Services Protocol Manipulation. This issue affects Marketing Cloud Engagement: before January 21st, 2026.
Błąd polega na nieprawidłowej neutralizacji znaków rozdzielających argumenty w poleceniu (CWE-88 — Argument Injection). Atakujący może dostarczyć specjalnie spreparowane dane wejściowe do modułu MicrositeUrl, które są następnie interpretowane jako dodatkowe argumenty polecenia lub parametry wywołania usługi. W efekcie możliwe jest manipulowanie zachowaniem usług sieciowych w sposób nieprzewidziany przez aplikację.
Atakujący zdalny, nieuwierzytelniony może uzyskać pełen dostęp do poufności, integralności i dostępności zasobu — co odpowiada ocenom C:H/I:H/A:H w wektorze CVSS. Możliwe jest nieautoryzowane odczytanie, modyfikacja lub zniszczenie danych oraz zakłócenie działania usługi.
Salesforce wdrożył poprawkę w dniu 21 stycznia 2026 r. Należy upewnić się, że używana instancja Marketing Cloud Engagement jest zaktualizowana do wersji po tej dacie. Szczegóły dostępne w artykule pomocy Salesforce (ID: 005299346).
Salesforce Marketing Cloud Engagement (moduł MicrositeUrl) — wszystkie wersje przed 21 stycznia 2026 r.
Podatność dotyczy wersji przed 21 stycznia 2026 r. — data graniczna patcha pochodzi wprost z opisu oryginalnego.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSalesforce Marketing Cloud Engagement
APPSalesforce< 2026-01-21
Powiązane podatności
Argument Injection w Salesforce Marketing Cloud Engagement (CloudPagesUrl)
Salesforce Marketing Cloud Engagement — słaby algorytm kryptograficzny (RCE-class)
Zahardkodowany klucz kryptograficzny w Salesforce Marketing Cloud Engagement
Code Injection w Salesforce Uni2TS — zdalne wykonanie kodu
MuleSoft is aware of a Remote Code Execution vulnerability affecting certain versions of a Mule runtime compon...