Usted está aquí:
Desactivar fórmula en reporte
Configuración de toda la organización que elimina fórmulas de Excel de exportaciones de reportes, evitando ataques de inyección de fórmulas malintencionados cuando los usuarios descargan datos confidenciales como hojas de cálculo.
Nombre de control
Gestión de reportes: Desactive la fórmula en el reporte.
Descripción general de control
Configuración de toda la organización que elimina fórmulas de Excel de exportaciones de reportes, evitando ataques de inyección de fórmulas malintencionados cuando los usuarios descargan datos confidenciales como hojas de cálculo.
Descripción
Cuando se activa, Salesforce exporta reportes como valores estáticos únicamente (no =FORMULATEXT(), no hay macros de VBA), lo que impide a los atacantes incrustar código ejecutable en campos de fórmula personalizados que se ejecutan al abrir en Excel/LibreOffice.
Configuración recomendada
Active la opción "Desactivar fórmula en reporte para evitar la inyección de fórmulas en la salida del reporte" - Configuración en Configuración de reporte/tablero.
Impacto de seguridad
Elimina el vector principal para la distribución de malware basado en fórmulas a través de reportes de negocio legítimos. Fuerza exportaciones estáticas seguras que protegen a los destinatarios descendentes de la ejecución automática de códigos.
Repercusión de negocio
Mantiene las funciones de exportación de reportes mientras elimina los riesgos de seguridad de macros de Excel. No se requieren cambios de flujo de trabajo de usuario. Admite requisitos de cumplimiento para la colaboración de datos segura.
Riesgo de seguridad si no está configurado
Los reportes de usuario contienen una posible vulnerabilidad de inyección de fórmulas cuando se exportan a Excel, lo que permite la entrega de malware a través de documentos de negocio de confianza.
Escenarios de amenazas
Mayor riesgo de ataques de inyección de fórmulas y ataques de revelación de información; los usuarios comprometidos con permisos de exportación de reportes integran (=CMD('net user hacker password!/add') de fórmulas maliciosas, =HYPERLINK("javascript:malware()")) en campos de fórmula que se ejecutan cuando ejecutivos y equipos de finanzas abren CSV exportados en Excel.
Intervalo de puntuaje de CVSS estimado
Crítico (9,0 a 10,0).
Consideraciones de impacto de riesgo
Cada exportación de reporte se convierte en un posible vector de malware; escalas de impacto con conteo de usuarios y frecuencia de distribución de reportes; las fórmulas complejas legítimas deben volver a implementarse como campos de resumen estáticos.
Mayor riesgo cuando
Los usuarios externos exportan reportes, los campos de fórmula personalizados contienen cálculos dinámicos, reportes distribuidos a través de email/Experience Cloud o equipos de finanzas/ventas de Excel.
Bajo riesgo cuando
Reportes solo vistos en la interfaz de usuario de Salesforce, sin campos de fórmula personalizados, solo usuarios internos, preferencia de exportación de PDF establecida.
Consideraciones de negocio e integración
Comunique cambios a usuarios con gran cantidad de reportes; audite campos de fórmula existentes antes de activar; pruebe reportes críticos en exportaciones de sandbox.
Directrices de revisión del estado de seguridad
Debe haberlo hecho.
Quién se ve afectado
Generadores de reportes utilizando campos de fórmula, usuarios finales exportando a Excel, equipos de seguridad monitoreando patrones de exportación, oficiales de cumplimiento verificando controles de colaboración de datos seguros.
