Você está aqui:
Desabilitar fórmula no controle de relatório
Configuração para toda a organização que remove fórmulas do Excel de exportações de relatório, impedindo ataques de injeção de fórmula mal-intencionados quando os usuários fazem download de dados confidenciais como planilhas.
Nome do controle
Gerenciamento de relatório – Desabilite a fórmula no relatório.
Visão geral de controle
Configuração para toda a organização que remove fórmulas do Excel de exportações de relatório, impedindo ataques de injeção de fórmula mal-intencionados quando os usuários fazem download de dados confidenciais como planilhas.
Descrição
Quando habilitado, o Salesforce exporta relatórios apenas como valores estáticos (não =FORMULATEXT(), sem macros VBA), impedindo que os invasores incorporem código executável a campos de fórmula personalizados que são executados ao abrir no Excel/LibreOffice.
Configuração recomendada
Habilite a opção "Desabilitar fórmula no relatório para evitar a injeção de fórmula na saída do relatório" – Configuração na Configuração de relatório/painel.
Impacto na segurança
Elimina o vetor primário para distribuição de malware baseado em fórmula por meio de relatórios comerciais legítimos. Força a proteger exportações estáticas protegendo destinatários a jusante contra execução automática de código.
Impacto nos negócios
Mantenha a funcionalidade de exportação de relatório enquanto elimina riscos de segurança de macro do Excel. Nenhuma alteração de fluxo de trabalho do usuário é necessária. Dá suporte aos requisitos de conformidade para compartilhamento de dados seguro.
Risco de segurança, se não configurado
Os relatórios do usuário contêm uma possível vulnerabilidade de injeção de fórmula quando exportados para o Excel, habilitando a entrega de malware por meio de documentos comerciais confiáveis.
Cenários de ameaça
Maior risco de ataques de injeção de fórmula e ataques de divulgação de informações; usuários comprometidos com permissões de exportação de relatório incorporam fórmulas maliciosas (=CMD('net user hacker password!/add'), =HYPERLINK("javascript:malware()")) em campos de fórmula que são executados quando executivos e equipes financeiras abrem CSVs exportados no Excel.
Intervalo de pontuação de CVSS estimado
Crítico (9.0 a 10.0).
Considerações sobre impacto de risco
Cada exportação de relatório se torna um possível vetor de malware; escala de impacto com contagem de usuários e frequência de distribuição de relatório; fórmulas complexas legítimas devem ser reimplementadas como campos de resumo estáticos.
Risco maior quando
Usuários externos exportam relatórios, campos de fórmula personalizados contêm cálculos dinâmicos, relatórios distribuídos por email/Experience Cloud ou equipes financeiras/de vendas pesadas no Excel.
Baixo risco quando
Relatórios visualizados apenas na IU do Salesforce, sem campos de fórmula personalizados, apenas usuários internos, preferência de exportação de PDF estabelecida.
Considerações de negócios e integração
Comunicar alterações a usuários pesados em relatórios; auditar campos de fórmula existentes antes de habilitar; testar relatórios críticos em exportações de sandbox.
Diretriz de revisão de saúde de segurança
Deve ter.
Quem é afetado
Criadores de relatórios usando campos de fórmula, usuários finais exportando para o Excel, equipes de segurança monitorando padrões de exportação, agentes de conformidade verificando controles de compartilhamento de dados seguros.
