CVE-2026-22584: CWE-94 在Salesforce Uni2TS中不当控制代码生成（“代码注入”）

严重性： 未知 类型： 漏洞

CVE-2026-22584 在MacOS、Windows、Linux系统上的Salesforce Uni2TS中存在不当控制代码生成（“代码注入”）漏洞，允许利用非可执行文件中的可执行代码。

此问题影响Uni2TS：至1.2.0版本。

技术摘要

CVE-2026-22584是一个归类于CWE-94的漏洞，表明不当的代码生成控制导致了代码注入。它影响在MacOS、Windows和Linux平台上使用的Salesforce Uni2TS产品，最高至1.2.0版本。该漏洞允许攻击者在通常被视为非可执行的文件中嵌入并执行恶意代码。发生这种情况是因为Uni2TS未能正确验证或清理用于动态生成可执行代码的输入。因此，攻击者可以制作特殊设计的文件，当这些文件被Uni2TS处理时，会以运行进程的权限执行任意代码。该漏洞不需要身份验证或用户交互，从而增加了其风险级别。尽管尚未在野外发现利用此漏洞的报告，但由于该缺陷存在于多个操作系统以及Salesforce产品的关键性质，使其成为一个严重问题。目前尚无官方补丁链接，这表明各组织必须密切关注Salesforce的安全公告。由于缺乏CVSS评分，需要根据潜在影响和可利用性进行独立的严重性评估。

潜在影响

对欧洲组织而言，CVE-2026-22584的影响可能是严重的。利用此漏洞可能导致未经授权的代码执行，从而导致数据泄露、系统被破坏或依赖Uni2TS的业务关键应用程序中断。鉴于Salesforce在欧洲的广泛使用，特别是在金融、医疗保健和政府等行业，攻击者可能利用此漏洞在网络中获得持久访问权限或横向移动。其跨平台特性意味着使用不同操作系统的组织都面临风险。敏感数据和服务的机密性、完整性和可用性可能受到损害。此外，缺乏身份验证或用户交互要求降低了利用的门槛，如果该漏洞被武器化，则增加了攻击的可能性。如果个人数据暴露或系统中断，这也可能导致根据GDPR产生的监管和合规性问题。

缓解建议

各组织应立即清查其使用的Salesforce Uni2TS，并确定受影响的版本（最高至1.2.0）。在补丁发布之前，应限制对Uni2TS的文件输入仅为可信来源，并实施严格的文件验证和清理控制。采用能够检测异常代码执行行为的应用程序白名单和端点保护解决方案。监控Uni2TS日志和系统行为，以发现利用尝试的迹象。应实施网络分段，以限制任何潜在危害的扩散。与Salesforce支持部门联系以获取更新，并在补丁可用后立即应用。此外，对管理员和用户进行有关处理不可信文件风险的安全意识培训。考虑部署运行时应用程序自我保护（RASP）或类似技术，以实时检测和阻止注入尝试。

受影响国家

德国、法国、英国、荷兰、瑞典、意大利、西班牙、比利时

来源： CVE数据库 V5 发布日期： 2026年1月9日 星期五