Andrew Schoonmaker

**Nome do software vulnerável e versões afetadas** Pacote da API Docusign versão 8.142.14 para Salesforce **Descrição** Foi detectada uma falha no pacote da API Docusign para Salesforce, na qual o objeto Apttus DocuApi DocusignAuthentication mdt armazena informações de configuração de uma forma que pode ser comprometida. Com as configurações padrão, o objeto pode ficar acessível, divulgando chaves que podem ser combinadas para criar uma sessão válida por meio da API do Docusign. Isso pode levar ao comprometimento total da conta do Docusign, já que a sessão é de uma conta de serviço de administrador e pode ter permissão para se reautenticar como usuários específicos. **Recomendações** Para a versão 8.142.14 do pacote da API do Docusign, considere restringir o acesso ao objeto Apttus DocuApi DocusignAuthentication mdt para minimizar o risco de exploração. Como solução temporária, revise e proteja as informações de configuração armazenadas por esse objeto para impedir o acesso não autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Avalara for Salesforce CPQ anteriores à 7.0 **Descrição** A vulnerabilidade permite que invasores leiam uma chave de API. A versão atual do aplicativo é a 11, em meados de 2024. **Recomendações** Para versões anteriores à 7.0, atualize para a versão 7.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso às chaves de API até que a atualização seja aplicada.