Salesforce CLIインストーラー（sf-x64.exe）に深刻なセキュリティ上の欠陥（CVE-2025-9844）が発見されました。この脆弱性により、攻撃者はWindowsマシン上でSYSTEMレベルの権限で任意のコードを実行できる可能性があります。信頼できないソースからSalesforce CLIをインストールしたユーザーはリスクにさらされる可能性があります。この脆弱性は、インストール中のファイルパスの不適切な処理に起因しており、ソーシャルエンジニアリングの手法を通じて悪用される可能性があります。

### 脆弱性の詳細

この問題は、インストーラーが実行ファイルを検索して実行する方法にあります。Salesforce CLIインストーラーが起動されると、インストールを完了するために必要な特定のファイルをローカルディレクトリで検索します。悪意のある攻撃者がユーザーを騙して改ざんされたインストーラーをダウンロードさせたり、不正な実行ファイルを同じフォルダーに配置したりした場合、インストーラーはSalesforceの正規のコードではなく、攻撃者のファイルを誤って実行してしまう可能性があります。

**影響を受けるバージョンと影響**

| CVE ID | 影響を受けるバージョン | 影響 |
| :————– | :—————————– | :————————————— |
| CVE-2025-9844 | 2.106.6より前のSalesforce-CLIバージョン | 任意のコード実行、権限昇格、SYSTEMレベルのアクセス |

インストーラーは昇格された権限で実行されるため、攻撃者のコードはSYSTEMレベルのアクセス権で実行されます。これにより、セキュリティ制御の無効化、新しいユーザーアカウントの作成、マルウェアの拡散など、オペレーティングシステムを完全に制御できるようになります。この脆弱性は、バージョン2.106.6より前のSalesforce CLIに影響します。Salesforceの公式サイトから直接インストーラーを入手したユーザーは、ファイルが適切に署名され、改ざん防止が検証されているため、安全です。

Salesforce CLIを開発や自動化に利用する組織は、データ移行、スクリプト作成、継続的インテグレーションビルドなどのタスクを実行するために、このツールに高い権限を付与することがよくあります。標的型攻撃では、脅威アクターがフィッシングメールやソーシャルメディアメッセージを送信し、シャドウサイトでホストされている「カスタマイズされた」または「強化された」インストーラーを提供することがあります。疑うことを知らない開発者がファイルをダウンロードして実行すると、知らず知らずのうちに攻撃者にシステムレベルの制御を提供してしまいます。一度確立されると、攻撃者はバックドアをインストールしたり、機密性の高い設定データを抜き出したり、企業ネットワーク内で横方向に移動したりすることができます。個人マシンで作業する単一の開発者にとって、この欠陥は環境変数に保存されているローカル資格情報、APIキー、その他の機密情報を漏洩させる可能性があります。この脆弱性は、ある程度のソーシャルエンジニアリングを必要としますが、コード署名とダウンロードの衛生管理が厳密に実施されていない環境では深刻な脅威となります。

Salesforceは、CLIインストーラーのバージョン2.106.6でこの欠陥に対処しました。ユーザーは、コマンドプロンプトで `sf –version` コマンドを実行して、このバージョン以降が実行されていることを確認する必要があります。バージョンが古い場合は、公式のSalesforceウェブサイトからのみインストーラーをダウンロードしてください。これらの手順に従うことで、組織は攻撃者がCVE-2025-9844を悪用するのを防ぎ、Salesforce開発パイプラインの整合性を維持することができます。

—
元記事: [GBhackers](https://gbhackers.com/)