CVE-2026-22585

Nome do Software Vulnerável e Versões Afetadas Salesforce Marketing Cloud Engagement versões anteriores a 21 de janeiro de 2026

Descrição O uso de um algoritmo criptográfico quebrado ou arriscado nos módulos CloudPages, Forward to a Friend, Profile Center, Subscription Center, Unsub Center e View As Webpage permite a Manipulação de Protocolo de Serviços Web. O problema envolve um padding oracle (um ataque de canal lateral que permite a um invasor descriptografar dados ao observar respostas de erro de um servidor) em uma chave AES estática compartilhada entre todos os locatários. Isso pode ser combinado com a injeção de AMPScript em linhas de assunto para ler dados de outros usuários, incluindo e-mails.

Recomendações Atualize para a versão lançada em ou após 21 de janeiro de 2026.