Marketing Cloud Engagementの対処済み脆弱性について

Salesforceセキュリティチームは、Marketing Cloud Engagement（MCE）におけるWebサービスプロトコル操作（Web Services Protocol Manipulation）の脆弱性を特定し、解決策としてプラットフォーム全体で強化されたAES-GCM暗号化を導入しました。この導入は2026年1月21日 23:00 UTCにMarketing Cloud Engagementをご利用のお客様すべてに完了しました。この日付以降に送信されたメール内で生成されたリンクは、新しい暗号化を使用しており、この問題に対し脆弱ではありません。

タイトル: CVE-2026-22585 説明: Salesforce Marketing Cloud Engagement（Clicks、CloudPages、Forward to a Friend、Profile Center、Subscription Center、Unsub Center、View As Webpageモジュール）における、危殆化暗号化アルゴリズムの使用（Use of a Broken or Risky Cryptographic Algorithm）に関する脆弱性により、Webリクエストの改ざん（パラメータ操作）が可能な状態でした。この問題は、2026年1月21日以前のMarketing Cloud Engagementに影響しました。 

CVSS: 8.7 HIGH

タイトル: CVE-2026-22586 説明: Salesforce Marketing Cloud Engagement（Clicks、CloudPages、Forward to a Friend、Profile Center、Subscription Center、Unsub Center、View As Webpageモジュール）における、ハードコードされた暗号化キー（Hard-coded Cryptographic Key）に関する脆弱性により、Webリクエストの改ざん（パラメータ操作）が可能な状態でした。この問題は、2026年1月21日以前のMarketing Cloud Engagementに影響しました。 

CVSS: 8.7 HIGH

タイトル: CVE-2026-22582 説明: Salesforce Marketing Cloud Engagement（MicrositeUrlモジュール）における、コマンド内の引数区切り文字の不適切な無効化（「引数インジェクション」）の脆弱性により、Webリクエストの改ざん（パラメータ操作）が可能な状態でした。この問題は、2026年1月21日以前のMarketing Cloud Engagementに影響しました。

CVSS: 8.7 HIGH

タイトル: CVE-2026-22583 説明: Salesforce Marketing Cloud Engagement（CloudPagesUrlモジュール）における、コマンド内の引数区切り文字の不適切な無効化（「引数インジェクション」）の脆弱性により、Webリクエストの改ざん（パラメータ操作）が可能な状態でした。この問題は、2026年1月21日以前のMarketing Cloud Engagementに影響しました。 

CVSS: 8.7 HIGH