Salesforce CLIインストーラに権限奪取が可能な脆弱性(CVE-2025-9844)

セキュリティニュース

投稿日時: 更新日時:

Salesforce CLIインストーラに権限奪取が可能な脆弱性(CVE-2025-9844)

2025年9月Salesforce(セールスフォース)は、Salesforce CLIインストーラ(sf-x64.exe)に関する脆弱性 CVE-2025-9844を公表しました。影響バージョンは2.106.6未満で、任意コード実行/権限昇格/SYSTEM権限取得につながる重大な問題です。

脆弱性の対象

Salesforce-CLI 2.106.6未満のインストーラ(sf-x64.exe)

脆弱性の対策バージョン

Salesforce-CLIを2.106.6以降へ更新

脆弱性の概要

実行ファイルパスの不適切な取り扱いで、同一ディレクトリに置かれた悪性実行ファイルが優先起動される状況が起こり得ます。特に偽の配布サイトやフィッシング誘導などのソーシャルエンジニアリングと組み合わさると危険性が高まります。CVSSは8.8(High)と評価されています。