Một lỗ hổng CVE nghiêm trọng đã được phát hiện trong trình cài đặt Salesforce CLI (sf-x64.exe), được gán mã CVE-2025-9844. Điểm yếu này cho phép kẻ tấn công thực thi mã tùy ý (hay còn gọi là remote code execution) với đặc quyền cấp SYSTEM trên các máy chạy Windows. Người dùng đã cài đặt Salesforce CLI từ các nguồn không đáng tin cậy có thể gặp rủi ro nghiêm trọng.

Phân tích lỗ hổng CVE-2025-9844 trong Salesforce CLI

Lỗ hổng này bắt nguồn từ việc xử lý đường dẫn tệp không đúng cách trong quá trình cài đặt. Nó có thể bị lạm dụng một cách hiệu quả thông qua các kỹ thuật tấn công phi kỹ thuật (social engineering) đơn giản.

Cơ chế khai thác lỗ hổng

Vấn đề cốt lõi nằm ở cách trình cài đặt định vị và thực thi các tệp thực thi. Khi Salesforce CLI installer được khởi chạy, nó sẽ tìm kiếm trong thư mục cục bộ các tệp nhất định cần thiết để hoàn tất quá trình cài đặt.

Nếu một tác nhân độc hại lừa người dùng tải xuống một trình cài đặt bị xâm phạm hoặc đặt một tệp thực thi độc hại (rogue executable) vào cùng thư mục, trình cài đặt có thể vô tình chạy tệp của kẻ tấn công thay vì mã hợp pháp của Salesforce.

Vì trình cài đặt được chạy với đặc quyền nâng cao, mã của kẻ tấn công cũng sẽ được thực thi với quyền truy cập cấp SYSTEM. Điều này cung cấp cho kẻ tấn công quyền kiểm soát hoàn toàn hệ điều hành.

Tác động và rủi ro bảo mật

Với quyền truy cập cấp SYSTEM, kẻ tấn công có thể thực hiện nhiều hành động phá hoại. Bao gồm việc vô hiệu hóa các điều khiển bảo mật, tạo tài khoản người dùng mới hoặc lây lan phần mềm độc hại trong mạng.

Trong một cuộc tấn công có mục tiêu, các tác nhân đe dọa có thể gửi email lừa đảo (phishing emails) hoặc tin nhắn qua mạng xã hội. Những tin nhắn này có thể đề nghị một trình cài đặt “tùy chỉnh” hoặc “nâng cao” được lưu trữ trên một trang web giả mạo (shadow site).

Các nhà phát triển không cảnh giác sẽ tải xuống và chạy tệp đó, vô tình cung cấp cho kẻ tấn công quyền kiểm soát cấp hệ thống. Một khi đã thiết lập được quyền truy cập, kẻ tấn công có thể cài đặt backdoors, trích xuất dữ liệu cấu hình nhạy cảm hoặc di chuyển ngang (lateral movement) trong các mạng lưới doanh nghiệp.

Đối với các nhà phát triển cá nhân làm việc trên máy tính của mình, lỗ hổng CVE-2025-9844 này có thể làm lộ thông tin xác thực cục bộ, khóa API được lưu trữ trong biến môi trường và các thông tin nhạy cảm khác. Mặc dù yêu cầu một mức độ tấn công phi kỹ thuật nhất định, đây vẫn là một mối đe dọa nghiêm trọng trong các môi trường không thực thi nghiêm ngặt các quy tắc ký mã và vệ sinh tải xuống.

Phiên bản bị ảnh hưởng và cách kiểm tra lỗ hổng CVE

Lỗ hổng này ảnh hưởng đến các phiên bản Salesforce CLI trước 2.106.6. Người dùng đã tải trình cài đặt trực tiếp từ trang web chính thức của Salesforce vẫn được bảo vệ, vì các tệp đó được ký và xác thực đúng cách để chống giả mạo.

Các tổ chức sử dụng Salesforce CLI cho mục đích phát triển và tự động hóa thường cấp đặc quyền cao cho công cụ này. Điều này cho phép thực hiện các tác vụ quan trọng như di chuyển dữ liệu, viết script và xây dựng tích hợp liên tục (continuous integration builds).

Xác minh phiên bản Salesforce CLI hiện tại

Để kiểm tra phiên bản Salesforce CLI đang được sử dụng, người dùng có thể thực thi lệnh sau trong dấu nhắc lệnh (command prompt) hoặc terminal:

sf --version

Biện pháp khắc phục và bảo vệ hệ thống khỏi lỗ hổng CVE-2025-9844

Salesforce đã giải quyết lỗ hổng CVE này trong phiên bản 2.106.6 của trình cài đặt CLI. Người dùng cần xác minh rằng họ đang chạy phiên bản này hoặc một phiên bản mới hơn để đảm bảo an toàn.

Cập nhật bản vá bảo mật và nguồn tải xuống tin cậy

Nếu phiên bản Salesforce CLI hiện tại của bạn cũ hơn 2.106.6, việc bắt buộc là phải tải xuống trình cài đặt chỉ từ trang web chính thức của Salesforce. Điều này đảm bảo bạn nhận được bản vá bảo mật hợp lệ và tránh các rủi ro từ các trình cài đặt độc hại.

Để biết thêm chi tiết và cập nhật chính thức từ Salesforce, vui lòng tham khảo: Salesforce Security Advisory

Bằng cách tuân thủ nghiêm ngặt các bước khuyến nghị này, các tổ chức có thể chủ động ngăn chặn kẻ tấn công khai thác lỗ hổng CVE-2025-9844. Đồng thời, họ duy trì tính toàn vẹn và an toàn của toàn bộ quy trình phát triển và tự động hóa liên quan đến Salesforce.