CVE-2025-64321

CVSS 5.3 MEDIUMEPSS 0.2%CWE-1427

En resumen

Una vulnerabilidad en la extensión Salesforce Agentforce Vibes (versiones anteriores a 3.3.0) permite que atacantes manipulen archivos de configuración mediante prompts maliciosos que no se validan correctamente. Esto podría permitir que alguien altere la configuración o el comportamiento de la extensión sin autorización adecuada.

Detalle técnico

La vulnerabilidad existe en la capa de saneamiento de entrada para prompts de LLM en la extensión Agentforce Vibes; un atacante puede elaborar entrada de prompt especialmente formateada que eluda controles de validación para modificar archivos de configuración escribibles. El ataque requiere la capacidad de proporcionar entrada al mecanismo de prompt del LLM, y la explotación exitosa resulta en modificación no autorizada de la configuración de la extensión.

Resumen generado y traducido por IA a partir de la descripción oficial.

Improper Neutralization of Input Used for LLM Prompting vulnerability in Salesforce Agentforce Vibes Extension allows Manipulating Writeable Configuration Files.This issue affects Agentforce Vibes Extension: before 3.3.0.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Productos afectados

Salesforce · Agentforce Vibes Extension

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://help.salesforce.com/s/articleView?id=005228032&type=1