CVE-2025-64321

CVSS 5.3 MEDIUMEPSS 0.2%CWE-1427

Em resumo

Uma falha na extensão Salesforce Agentforce Vibes (versões anteriores à 3.3.0) permite que atacantes manipulem arquivos de configuração através de prompts maliciosos que não são validados corretamente. Isso pode permitir que alguém altere configurações ou comportamento da extensão sem autorização adequada.

Detalhe técnico

A vulnerabilidade reside na falta de neutralização apropriada de entrada usada para prompts de LLM na extensão Agentforce Vibes; um atacante pode craftar prompts especialmente formatados que contornam os controles de validação para modificar arquivos de configuração. O ataque requer capacidade de fornecer entrada ao mecanismo de prompt do LLM, e a exploração resulta em modificação não autorizada de configuração da extensão.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Improper Neutralization of Input Used for LLM Prompting vulnerability in Salesforce Agentforce Vibes Extension allows Manipulating Writeable Configuration Files.This issue affects Agentforce Vibes Extension: before 3.3.0.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Produtos afetados

Salesforce · Agentforce Vibes Extension

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://help.salesforce.com/s/articleView?id=005228032&type=1