Ti trovi qui:
Disabilita formula nel rapporto
Impostazione a livello di organizzazione che elimina le formule Excel dalle esportazioni dei rapporti, impedendo attacchi di iniezione di formule dannose quando gli utenti scaricano dati sensibili come fogli di calcolo.
Nome controllo
Gestione rapporti: disabilitare la formula nel rapporto.
Panoramica sul controllo
Impostazione a livello di organizzazione che elimina le formule Excel dalle esportazioni dei rapporti, impedendo attacchi di iniezione di formule dannose quando gli utenti scaricano dati sensibili come fogli di calcolo.
Descrizione
Quando è abilitata, Salesforce esporta i rapporti solo come valori statici (no =FORMULATEXT(), nessuna macro VBA), impedendo agli aggressori di incorporare codice eseguibile nei campi formula personalizzati che vengono eseguiti all'apertura in Excel/LibreOffice.
Configurazione consigliata
Abilitare "Disabilita formula nel rapporto per evitare l'inserimento di formule nell'output del rapporto" - Imposta in Impostazione rapporto/cruscotto digitale.
Impatto sulla sicurezza
Elimina il vettore principale per la distribuzione di malware basata su formula tramite rapporti aziendali legittimi. Forza le esportazioni statiche sicure proteggendo i destinatari a valle dall'esecuzione automatica di codice.
Impatto sul business
Mantiene la funzionalità di esportazione dei rapporti eliminando i rischi per la sicurezza delle macro di Excel. Non sono richieste modifiche del flusso di lavoro utente. Supporta i requisiti di conformità per la condivisione sicura dei dati.
Rischio per la sicurezza se non configurato
I rapporti utente contengono una potenziale vulnerabilità dell'iniezione di formule quando vengono esportati in Excel, abilitando la consegna di malware tramite documenti aziendali affidabili.
Scenari di minaccia
Aumento del rischio di attacchi di Formula Injection e attacchi di divulgazione delle informazioni; gli utenti compromessi con autorizzazioni di esportazione dei rapporti incorporano (=CMD('net user hacker password!/add') di formule dannose, =HYPERLINK("javascript:malware()")) nei campi formula che vengono eseguiti quando i dirigenti e i team finanziari aprono i file CSV esportati in Excel.
Intervallo di punteggi CVSS stimato
Critico (9.0–10.0).
Considerazioni sull'impatto del rischio
Ogni esportazione di rapporti diventa un potenziale vettore di malware; le scale di impatto con il conteggio degli utenti e la frequenza di distribuzione dei rapporti; le formule complesse legittime devono essere reimplementate come campi di riepilogo statici.
Rischio maggiore quando
Gli utenti esterni esportano i rapporti, i campi formula personalizzati contengono calcoli dinamici, i rapporti distribuiti tramite email/Experience Cloud o i team finanziari/vendite di Excel.
Basso rischio quando
Rapporti visualizzati solo nell'interfaccia utente di Salesforce, senza campi formula personalizzati, solo utenti interni, preferenza di esportazione in PDF stabilita.
Considerazioni su Business e integrazione
Comunicare le modifiche agli utenti con un elevato numero di rapporti; controllare i campi formula esistenti prima di abilitarli; testare i rapporti critici nelle esportazioni Sandbox.
Guida all'esame dello stato della sicurezza
Deve averlo fatto.
Chi è interessato
Generatori di rapporti che utilizzano campi formula, utenti finali che esportano in Excel, team di sicurezza che monitorano gli schemi di esportazione, addetti alla conformità che verificano controlli di condivisione dei dati sicuri.
