公開日:2021/10/05 最終更新日:2021/10/05

JVNVU#97731134
Salesforce Developer Experience Command Line Interfaceにおけるアクセス制限不備の問題

概要

Salesforce Developer Experienceは、Command Line Interfaceを使用することでSalesforceサービスにアクセス可能なURLを生成することができます。Salesforceのセキュリティ設定がデフォルトの場合、上記のURLを利用することで、第三者がURLを生成したユーザと同じ権限でサービスを操作することが可能な問題が存在します。

影響を受けるシステム

  • Salesforce Developer Experience Command Line Interfaceで管理しているSalesforceサービス

詳細情報

Salesforce Developer Experience Command Line Interfaceを使用すると、認証されたユーザは自身と同じアクセス権でSalesforce GUIにアクセス可能なURLを生成できます。この方法でアクセスした場合、ログに記録されません。Salesforceのセキュリティ設定がデフォルトの場合、IPアドレスやデバイスなどの検証がされることなく、生成したURLを利用し、Salesforce GUIにアクセスすることが可能です。その結果任意のユーザが、URLを生成したユーザと同じアクセス権で管理アクションを実行可能な問題が存在します。

想定される影響

遠隔の第三者によって、ユーザアカウントの追加やアプリケーションの設定変更などをされる可能性があります。

対策方法

ワークアラウンドを実施する
次のワークアラウンドを実施することで、本問題の影響を軽減することが可能です。

  • セッションセキュリティ設定を利用して、IPアドレスまたはドメインによるセッション制限をする
上記の回避策を利用することで、利用しているSalesforceに影響を与える可能性があります。詳しくはSalesforceが公開している情報を参照し実施してください。

参考情報

  1. CERT/CC Vulnerability Note VU#883754
    Salesforce DX command line interface (CLI) does not adequately protect sfdxurl credentials

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia