A CVE-2025-9844 azonosítón nyomon követett sérülékenység a Salesforce CLI telepítőjét (sf-x64.exe) érinti. A sebezhetőség lehetővé teszi a támadók számára, hogy tetszőleges kódot futtassanak rendszer szintű jogosultságokkal Windows környezetben, különösen akkor, ha a felhasználó nem megbízható forrásból telepítette a Salesforce CLI-t.
A sérülékenység a fájl elérési útjának nem megfelelő kezeléséből ered. A Salesforce CLI telepítő a helyi könyvtárban keresi a telepítéshez szükséges fájlokat, viszont bizonyos esetekben a támadó által elhelyezett hamis fájlt futtathatja a legitim Salesforce helyett. Mivel a telepítő emelt szintű jogosultsággal fut, a támadó kódja is rendszer szintű hozzáférést kap. Ez lehetővé teszi az operációs rendszer teljes ellenőrzését, beleértve a biztonsági ellenőrzések letiltását, új felhasználói fiókok létrehozását vagy rosszindulatú programok terjesztését.
Célzott támadás esetén a kiberbűnözők adathalász e-mailekben vagy közösségi média üzenetekben küldhetnek “testreszabott” telepítőt. A gyanútlan fejlesztő amikor letölti és futtatja a fájlt, akaratlanul is rendszerszintű hozzáférést ad a támadónak. Ezután a támadók backdoor-t telepíthetnek, érzékeny konfigurációs adatokat szivárogtathatnak ki, vagy laterálisan mozoghatnak a vállalat hálózatán belül. Egyéni fejlesztők eszközein pedig veszélybe kerülhetnek a helyi hitelesítő adatok, a környezeti változókban tárolt API-kulcsok és más bizalmas információk.
Bár a sebezhetőség bizonyos szintű social engineering manipulációt igényel, komoly veszélyt jelent olyan környezetben, ahol a kódaláírást és a letöltésekre vonatkozó szabályokat nem tartják be szigorúan.
A Salesforce ezt a sérülékenységet a CLI telepítő 2.106.6-os verziójában javította. A felhasználóknak javasolt ellenőrizni, hogy a szoftver melyik verzióját futtatják. Amennyiben a régebbi verzióval rendelkeznek, kizárólag csak a hivatalos Salesforce weboldalról töltsék le a telepítőt.
