プラットフォーム
nodejs
コンポーネント
lightning-flow-scanner
修正版
6.10.7
6.10.6
CVE-2025-67750は、Salesforceのlightning-flow-scannerにおけるリモートコード実行(RCE)脆弱性です。この脆弱性は、APIVersionルールがnew Function()を使用して式文字列を評価することに起因します。攻撃者は、悪意のある式をルール設定または作成されたフローメタデータに含めることで、スキャン中に任意のJavaScriptを実行できる可能性があります。影響を受けるバージョンは6.10.6より前のバージョンですが、6.10.6へのアップデートでこの問題は修正されています。
この脆弱性を悪用されると、攻撃者はスキャンプロセス中に任意のJavaScriptコードを実行できます。これにより、開発者のマシン、CIランナー、またはエディタ環境が侵害される可能性があります。攻撃者は、機密情報を盗んだり、システムを制御したり、さらなる攻撃を仕掛けたりする可能性があります。この脆弱性は、特に自動化されたビルドプロセスや継続的インテグレーション環境で使用されている場合に、深刻な影響を与える可能性があります。攻撃者は、悪意のあるフローメタデータファイルをアップロードすることで、システムを完全に制御できる可能性があります。
この脆弱性は、2025年12月12日に公開されました。現時点では、公開されているPoCは確認されていませんが、new Function()の使用は一般的にセキュリティリスクが高いため、悪用される可能性はあります。CISA KEVカタログへの登録状況は不明です。攻撃者は、この脆弱性を利用して、Salesforce環境に侵入し、機密情報を盗む可能性があります。
Developers using lightning-flow-scanner in their development workflows are at significant risk. This includes teams utilizing CI/CD pipelines that incorporate the scanner, as well as developers using code editors or IDEs that integrate with the component. Shared hosting environments where multiple developers share the same instance of the scanner are particularly vulnerable.
• nodejs: Monitor process execution for unusual JavaScript activity. Use ps aux | grep node to identify running instances of lightning-flow-scanner. Examine the command-line arguments for suspicious flow metadata files.
• nodejs: Inspect the lightning-flow-scanner module's source code for the presence of new Function() calls, particularly within the APIVersion rule.
• generic web: If the scanner is exposed via a web interface, monitor access logs for requests containing unusual or malformed flow metadata. Look for POST requests to endpoints that process flow files.
• generic web: Check for unexpected JavaScript execution in the browser's developer console when interacting with the scanner's web interface.
disclosure
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への主な対策は、lightning-flow-scannerをバージョン6.10.6にアップデートすることです。アップデートが利用できない場合、一時的な回避策として、信頼できないソースからのフローメタデータファイルのインポートを制限することを検討してください。また、スキャンプロセスを隔離された環境で実行することで、攻撃の影響を軽減できます。WAFやプロキシサーバーを使用して、悪意のあるJavaScriptコードの実行をブロックすることも有効です。アップデート後、スキャンを実行し、エラーが発生しないことを確認してください。
Actualice la versión de lightning-flow-scanner a la versión 6.10.6 o superior. Esto se puede hacer a través de npm o yarn, dependiendo de su gestor de paquetes. Ejecute `npm install lightning-flow-scanner@latest` o `yarn upgrade lightning-flow-scanner` para obtener la versión corregida.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-67750は、Salesforceのlightning-flow-scannerにおいて、APIVersionルールでnew Function()を使用しているため、悪意のあるフローメタデータファイルによってスキャン中に任意のJavaScript実行が発生する脆弱性です。
lightning-flow-scannerのバージョンが6.10.6より古い場合は、影響を受けます。
lightning-flow-scannerをバージョン6.10.6にアップデートしてください。
現時点では、公開されているPoCは確認されていませんが、悪用される可能性はあります。
Salesforceのセキュリティアドバイザリを参照してください。