CRITICAL🇬🇧 English

CVE-2026-22583

Argument Injection w Salesforce Marketing Cloud Engagement (CloudPagesUrl)

CVSS 9.8v3.1pub. 2026-01-24upd. 2026-02-12

Podatność typu argument injection w module CloudPagesUrl produktu Salesforce Marketing Cloud Engagement umożliwia manipulację protokołami usług sieciowych (Web Services Protocol Manipulation). Krytyczny poziom CVSS 9.8 oznacza możliwość ataku bez uwierzytelnienia, zdalnie i bez interakcji użytkownika.

Pokaż oryginał (EN)

Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') vulnerability in Salesforce Marketing Cloud Engagement (CloudPagesUrl module) allows Web Services Protocol Manipulation. This issue affects Marketing Cloud Engagement: before January 21st, 2026.

🤖 Analiza AI
Jak działa

Błąd polega na niewłaściwym neutralizowaniu separatorów argumentów w poleceniu (CWE-88). Atakujący może przekazać do modułu CloudPagesUrl spreparowane dane zawierające dodatkowe argumenty, które nie są odpowiednio filtrowane ani izolowane. W efekcie możliwe jest wstrzyknięcie nieautoryzowanych argumentów do wywołań usług sieciowych, co pozwala na manipulację ich zachowaniem w sposób niezamierzony przez twórców oprogramowania.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych (naruszenie poufności), zmodyfikować lub sfałszować dane przetwarzane przez usługi (naruszenie integralności) oraz potencjalnie zakłócić ich działanie (naruszenie dostępności) — wszystkie trzy aspekty ocenione jako wysokie w wektorze CVSS.

Mitygacja

Salesforce wdrożył poprawkę po stronie serwera z dniem 21 stycznia 2026 roku. Administratorzy powinni zweryfikować, czy ich instancja Marketing Cloud Engagement została zaktualizowana do wersji wydanej po tej dacie, oraz zapoznać się ze szczegółami dostępnymi w oficjalnym artykule pomocy technicznej Salesforce (ID: 005299346).

Kogo dotyczy

Salesforce Marketing Cloud Engagement we wszystkich wersjach przed 21 stycznia 2026 roku (dotyczy modułu CloudPagesUrl).

Uwagi

Poprawka została wdrożona przez Salesforce po stronie infrastruktury producenta w dniu 21 stycznia 2026 roku — klienci korzystający z usługi w modelu SaaS mogą nie wymagać samodzielnego działania, jednak zaleca się weryfikację zgodnie z referencją producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Salesforce Marketing Cloud Engagement

    APP
    Salesforce
    < 2026-01-21
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-22582CRITICAL9.8PL ✓ten sam produkt

Argument Injection w Salesforce Marketing Cloud Engagement (MicrositeUrl)

CVE-2026-22585CRITICAL9.8PL ✓ten sam produkt

Salesforce Marketing Cloud Engagement — słaby algorytm kryptograficzny (RCE-class)

CVE-2026-22586CRITICAL9.8PL ✓ten sam produkt

Zahardkodowany klucz kryptograficzny w Salesforce Marketing Cloud Engagement

CVE-2026-22584CRITICAL9.8PL ✓ten sam vendor

Code Injection w Salesforce Uni2TS — zdalne wykonanie kodu

CVE-2021-1626CRITICAL9.8ten sam vendor

MuleSoft is aware of a Remote Code Execution vulnerability affecting certain versions of a Mule runtime compon...