Redazione RHC : 24 septiembre 2025 17:17
Una vulnerabilidad crítica en el instalador de Salesforce CLI (sf-x64.exe) permite a los atacantes obtener ejecución de código arbitrario, escalada de privilegios y acceso a nivel de SISTEMA en sistemas Windows.
La vulnerabilidad explota la forma en que el instalador resuelve las rutas de archivo durante la instalación. Salesforce ha lanzado la versión 2.106.6, que soluciona el problema codificando rutas de archivo absolutas y validando firmas digitales antes de cargar ejecutables adicionales.
Cuando se ejecuta sf-x64.exe, carga varios archivos ejecutables y DLL auxiliares del directorio de trabajo actual antes de regresar al directorio que contiene el instalador.
Un atacante que coloca un ejecutable falsificado con el mismo nombre que un componente legítimo ( por ejemplo, sf-autoupdate.exe o sf-config.dll ) en la misma carpeta puede hacer que el instalador cargue y ejecute el código del atacante.
Identificada como CVE-2025-9844, la falla se debe a que el instalador maneja incorrectamente las rutas de los archivos ejecutables , lo que permite que se ejecuten archivos maliciosos en lugar de binarios legítimos cuando el software se obtiene de fuentes no confiables.
Debido a que el instalador se ejecuta con privilegios elevados de manera predeterminada, escribiendo claves de registro en HKLM y creando servicios en LocalSystem, el código inyectado hereda privilegios de nivel SYSTEM, lo que le permite tomar control total de la máquina host.
Tras la ejecución, el instalador carga el archivo sf-autoupdate.exe fraudulento, que aumenta los privilegios mediante la creación de un servicio de shell inverso en la cuenta LocalSystem. El atacante utiliza el shell para ejecutar comandos en el sistema operativo. Todas las versiones de Salesforce-CLI anteriores a la 2.106.6 se ven afectadas por esta vulnerabilidad de secuestro de rutas.
Es importante tener en cuenta que solo corren riesgo los usuarios que instalan la CLI desde espejos no confiables o repositorios de terceros; las instalaciones descargadas directamente desde el sitio web oficial de Salesforce utilizan un instalador firmado que aplica rigurosas verificaciones de integridad y resolución de ruta.
Para solucionar el problema, los usuarios afectados deben desinstalar inmediatamente cualquier versión de CLI obtenida de fuentes no verificadas y ejecutar un análisis completo del sistema en busca de ejecutables desconocidos o servicios sospechosos.
Se recomienda a los administradores que implementen la instalación únicamente desde puntos de conexión de confianza y que habiliten las directivas de Control de Aplicaciones de Microsoft Defender (MDAC) para restringir la ejecución de binarios no autorizados en los directorios de instalación. Además, es necesario supervisar continuamente los registros de eventos del sistema para detectar instaladores que se ejecutan en ubicaciones no estándar.
RedazioneEl otro día, en LinkedIn, me encontré conversando con alguien muy interesado en el tema de la inteligencia artificial aplicada al derecho. No fue una de esas conversaciones de bar con palabras de mo...
En su última actualización, el gigante tecnológico corrigió 175 vulnerabilidades que afectaban a sus productos principales y sistemas subyacentes, incluyendo dos vulnerabilidades de día cero expl...
Ivanti ha publicado 13 vulnerabilidades en su software Endpoint Manager (EPM) , incluidas dos fallas de alta gravedad que podrían permitir la ejecución remota de código y la escalada de privilegios...
Los analistas de Sophos descubrieron una compleja operación de malware realizada por expertos en seguridad que utiliza el popular servicio de mensajería WhatsApp para propagar troyanos bancarios, ap...
Se ha identificado una vulnerabilidad crítica en la arquitectura de seguridad de hardware AMD SEV-SNP, que afecta a los principales proveedores de servicios en la nube (AWS, Microsoft Azure y Google ...
