Tag: CRM

Salesforce Agentforce の脆弱性 CVE-2025-32711:間接プロンプト・インジェクションで CRM データを漏洩

Salesforce Patches Critical ForcedLeak Bug Exposing CRM Data via AI Prompt Injection

2025/09/25 TheHackerNews — AI エージェント構築プラットフォーム Salesforce Agentforce に影響を及ぼす、深刻な脆弱性 CVE-2025-32711 (CVSS:9.4) を、サイバー・セキュリティ研究者たちが公表した。この脆弱性を悪用する攻撃者は、間接的なプロンプト・インジェクションを通じて、CRM ツールから機密データを漏洩させる可能性を得る。この脆弱性は、2025年7月28日に Noma Security により発見/報告され、ForcedLeak というコードネームで呼ばれている。その影響が及ぶ範囲は、Web-to-Lead 機能を有効にした Salesforce Agentforce を使用している、すべてのユーザー組織である。

Continue reading “Salesforce Agentforce の脆弱性 CVE-2025-32711:間接プロンプト・インジェクションで CRM データを漏洩”

Cisco にビッシング攻撃:従業員が騙され CRM から Cisco.com ユーザー・プロファイルが流出

Cisco Hacked – Attackers Stole Profile Details of Users Registered on Cisco.com

2025/08/05 CyberSecurityNews — Cisco が認めたのは、同社 Webサイト “Cisco.com” に登録されているユーザーの基本プロフィール情報が、サイバー攻撃の標的となり盗み出されたという事実である。なお、被害に遭ったユーザー数は非公表とされている。同社によると、この情報侵害は、高度に洗練された音声フィッシング、いわゆる “ヴィッシング” (Vishing) 攻撃により従業員が騙された結果として発生したとされる。

Continue reading “Cisco にビッシング攻撃:従業員が騙され CRM から Cisco.com ユーザー・プロファイルが流出”

3CX CRM Integration に深刻な SQL 脆弱性 CVE-2023-49954:パッチ提供までの緩和策は?

CVE-2023-49954: Critical SQL Injection Vulnerability in 3CX CRM Integration

2023/12/16 SecurityOnline — 目まぐるしく変化するインターネット・コミュニケーションの世界において、セキュリティの脅威に先手を打つことは、必要不可欠なことだ。最近では、有名な VoIP 通信会社である 3CX が、膨大な量の機密データを危険にさらす可能性のある深刻なセキュリティの脆弱性について、顧客に警告を発している。

Continue reading “3CX CRM Integration に深刻な SQL 脆弱性 CVE-2023-49954:パッチ提供までの緩和策は?”

Toyota Customer 360 の深刻な脆弱性が FIX:開発用/本番用 API の錯綜が原因

Vulnerability in Toyota Management Platform Provided Access to Customer Data

2023/03/07 SecurityWeek — Toyota Customer 360 という CRM (Customer Relationship Management) プラットフォームに、深刻な脆弱性が存在していたことが判明した。この脆弱性を発見したセキュリティ研究者によると、メキシコの顧客の個人情報にアクセスが可能だったという。この Web アプリケーションは、組織全体として顧客データを集約しており、個人情報/購入履歴/サービス内容などの、全ての顧客情報を一元的に把握するためのものだ。

Continue reading “Toyota Customer 360 の深刻な脆弱性が FIX:開発用/本番用 API の錯綜が原因”

CISA KEV 警告 23/02/02:Oracle E-Business Suite の PoC 悪用が始まった

Exploitation of Oracle E-Business Suite Vulnerability Starts After PoC Publication

2023/02/03 SecurityWeek — Oracle E-Business Suite の深刻な脆弱性が、PoC エクスプロイト・コードの公開直後から悪用されている。Oracle E-Business Suite は、Oracle の主要製品群の1つであり、サプライチェーン管理 (SCM)/企業資源計画 (ERP)/顧客関係管理 (CRM) などのプロセスを、自動化するためのエンタープライズ・アプリケーションのセットである。

Continue reading “CISA KEV 警告 23/02/02:Oracle E-Business Suite の PoC 悪用が始まった”

Zendesk Explore の深刻な脆弱性が FIX:GraphQL API で SQL インジェクションが発生

Researchers Reported Critical SQLi and Access Flaws in Zendesk Analytics Service

2011/11/15 TheHackerNews — サイバー・セキュリティ研究者たちが、Zendesk Explore に存在する欠陥 (パッチ適用済み) の詳細を公開した。この脆弱性の悪用に成功した攻撃者は、Explore 機能を ON にした顧客アカウントの情報に、不正にアクセスする可能性があったとされる。

Continue reading “Zendesk Explore の深刻な脆弱性が FIX:GraphQL API で SQL インジェクションが発生”

Microsoft Dynamics 365 でフィッシング:Customer Voice の悪用に御用心

Attackers leverage Microsoft Dynamics 365 to phish users

2022/11/04 HelpNetSecurity — Microsoft Dynamics 365 の Customer Voice を悪用する脅威アクターたちが、メール・フィルターを回避し、Microsoft ユーザーの受信トレイにフィッシング・メールを配信していると、Avanan の研究者たちが警告している。

Continue reading “Microsoft Dynamics 365 でフィッシング:Customer Voice の悪用に御用心”