为了进一步挖掘受害企业的机敏资讯，骇客可能会锁定客户关係管理系统（CRM）平台Salesforce下手，窃取其中的内容，最近一起针对该平台而来的资安事故，是骇客组织Gehenna（GHNA）从可口可乐装瓶合作伙伴Coca-Cola Europacific Partners（CCEP）窃得内部资料。一旦这类系统出现资安漏洞，就有可能成为骇客利用的标的。

最近有两组研究人员揭露与Salesforce有关的漏洞，其中又以资安研究员Tobia Righi公布的零时差漏洞先引起关注，这项弱点发生在Salesforce预设的控制器，此控制器将contentDocumentId参数直接嵌入动态的Salesforce Object Query Language（SOQL）查询，却未经过适当处理，导致可被恶意操控。Tobia Righi先后于2月下旬及4月初向Salesforce通报此事，直到最近似乎Salesforce默默地完成修补，Tobia Righi才公布漏洞细节。研究人员指出，Salesforce并未发布资安公告提及此事，也没有登记CVE编号，当他询问能否参与漏洞悬赏专案，Salesforce竟回覆：该专案不再受理漏洞通报。

这项资安漏洞的发现，源自于Tobia Righi对于Salesforce提供的Aura框架进行模糊测试（Fuzzing），察觉其中一项内建的控制器存在SOQL注入弱点，并指出攻击者若是能绕过SOQL的管制，就有可能取得敏感的用户资料，以及上传文件的详细资讯。这种问题影响将相当广泛，成千上万的Salesforce平台都可能曝险。研究人员最终透过特製的输入触发错误讯息，成功找出能用于SOQL注入的资安弱点。

另一组漏洞的揭露，来自SaaS应用程序资安业者AppOmni，他们在Salesforce为特定产业提供的云端解决方案Industry Clouds当中，找到21项与组态配置有关的弱点，有可能导致未经授权的攻击者存取加密表单、窃取连线阶段（Session）、帐密资料，甚至是掌握商业运作逻辑。AppOmni向Salesforce通报并进行合作，结果有5个登记了CVE编号列管，其中有3项完成修补、2项Salesforce发布组态配置指引，而对于未登记编号的16项组态弱点，Salesforce认为并非是软件错误，应由客户负责处理。

Industry Clouds是Salesforce以Customer 360平台为基础建构的垂直整合解决方案，结合CRM与产业专属功能，让企业能以低程序码（Low-code）方式快速部署符合业务需求的应用程序。由于Industry Clouds广泛用于金融、医疗保健、製造、电信、公共服务等领域，因此这些配置不当的弱点，影响範围可能会相当广泛。

针对这次AppOmni找到的弱点，研究人员指出存在于FlexCards、Data Mappers、Integration Procedures、Data Packs、OmniOut，以及OmniScript Saved Sessions功能。其中被登记CVE编号的弱点，有4项出现于FlexCards，1项与Data Mappers有关，CVSS风险介于5.3至7.5分。