Salesforce CLI安装程序(sf-x64.exe)中存在一个严重漏洞,这使得攻击者能够在Windows系统上实现任意代码执行、权限提升和获取系统级访问权限。
该漏洞编号为CVE-2025-9844,其根源在于安装程序对可执行文件路径的处理不当,当软件从不可信来源获取时,这会使得恶意文件能够替代合法二进制文件执行。
路径劫持漏洞(CVE-2025-9844)
该漏洞利用了Salesforce-CLI安装程序在安装过程中解析文件路径的方式。当sf-x64.exe运行时,它会先从当前工作目录加载多个辅助可执行文件和动态链接库(DLL),之后才会转而从包含安装程序的目录加载。
攻击者若将一个精心制作的可执行文件(例如命名为sf-autoupdate.exe或sf-config.dll)放置在与合法组件相同的文件夹中,且文件名与合法组件一致,就可能导致安装程序加载并执行攻击者的代码。
由于安装程序默认以提升的权限运行,会在HKLM下写入注册表项并在LocalSystem下创建服务,因此注入的代码会继承系统级权限,从而能够完全接管主机。
执行时,安装程序会加载恶意的sf-autoupdate.exe,该程序通过在LocalSystem账户下创建反向shell服务来提升权限。攻击者随后利用该shell执行命令,并成功获取系统级输出。
| 风险因素 | 详情 |
| 受影响产品 | Salesforce CLI安装(sf-x64. exe)版本<2.106.6 |
| 影响 | 任意代码执行;权限提升至系统级访问权限 |
| 漏洞利用前提条件 | 从不可信来源获取的安装程序;攻击者在安装程序的工作目录中放置恶意可执行文件;安装程序以提升的权限运行 |
| CVSS 3.1评分 | 7.8(高) |
受影响版本及缓解措施
所有2.106.6之前版本的Salesforce-CLI都受到此路径劫持漏洞的影响。
重要的是,只有从不可信的镜像或第三方仓库安装命令行界面(CLI)的用户才会面临风险;通过Salesforce官方网站直接下载的安装程序使用经过签名的安装包,该安装包会执行严格的路径解析和完整性检查。
为了补救,受影响的用户应立即卸载从非官方渠道获取的任何CLI版本,并对系统进行全面扫描,查找未知的可执行文件或可疑服务。
Salesforce已发布2.106.6版本,该版本通过硬编码绝对文件路径并在加载补充可执行文件前验证数字签名来修复此问题。
建议管理员仅允许从可信端点执行安装,并启用微软防御者应用程序控制(MDAC)策略,以限制在安装目录中运行未授权的二进制文件。
持续监控系统事件日志中在非标准路径下出现的意外服务创建或安装程序执行情况,将有助于及早发现未遂的漏洞利用行为。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
