Usted estĆ” aquĆ:
VersiĆ³n de API de Lightning Loader
La activaciĆ³n de la versiĆ³n mĆ”s reciente de la API Lightning Locker es un control de seguridad que garantiza que todos los componentes Lightning de su organizaciĆ³n se rigen por los parches de seguridad mĆ”s recientes.
Nombre de control
VersiĆ³n de API de Lightning Loader
ConfiguraciĆ³n recomendada
- Utilizar mejoras de seguridad en versiĆ³n de API: seleccione la versiĆ³n de API mĆ”s reciente donde los componentes funcionaron correctamente
ConfiguraciĆ³n>ConfiguraciĆ³n de sesiĆ³n>VersiĆ³n de API de Lightning Locker.
DescripciĆ³n general de control
La activaciĆ³n de la versiĆ³n mĆ”s reciente de la API Lightning Locker es un control de seguridad que garantiza que todos los componentes Lightning de su organizaciĆ³n se rigen por los parches de seguridad y las mejoras arquitectĆ³nicas mĆ”s recientes proporcionados por Salesforce. Al seleccionar la versiĆ³n actual en ConfiguraciĆ³n de sesiĆ³n, los administradores fuerzan a los componentes a adherirse a las protecciones a nivel de navegador mĆ”s recientes, como el aislamiento DOM refinado y las mitigaciones de secuencias de comandos de sitios cruzados (XSS), garantizando que incluso los componentes heredados se beneficien de estrategias modernas de defensa en profundidad.
Riesgo de seguridad si no estĆ” configurado
La no activaciĆ³n de la versiĆ³n mĆ”s reciente de la API Lightning Locker expone su organizaciĆ³n a vulnerabilidades de seguridad conocidas y riesgos de secuencias de comandos de sitio cruzadas (XSS).
Escenarios de amenazas
En un entorno que ejecuta una versiĆ³n desfasada de la API Lightning Locker, un actor de amenazas o un paquete gestionado malicioso podrĆa explotar vulnerabilidades conocidas no parcheadas que estĆ”n estrictamente bloqueadas en las versiones mĆ”s recientes. Al aprovechar estas reglas de seguridad mĆ”s antiguas y menos restrictivas, el atacante puede ejecutar JavaScript arbitrario para omitir el aislamiento DOM, permitiĆ©ndole raspar silenciosamente datos confidenciales de otros componentes o secuestrar la sesiĆ³n del usuario sin detecciĆ³n.
Intervalo de puntuaciĆ³n de CVSS estimado
CrĆtico (9,0 a 10,0).
Consideraciones sobre el impacto del riesgo
El principal impacto en el riesgo es dejar su organizaciĆ³n vulnerable a fallos de seguridad conocidos y parcheados, al tiempo que aumenta la probabilidad de degradaciĆ³n del rendimiento y fallos de integraciĆ³n ya que las reglas de aislamiento heredadas no estĆ”n sincronizadas con los estĆ”ndares de seguridad de navegador modernos.
Riesgo mƔs alto cuando
El riesgo de exfiltraciĆ³n de datos se amplifica significativamente por configuraciones permisivas de PolĆtica de seguridad de contenido (CSP) o CORS, que pueden permitir inadvertidamente la ejecuciĆ³n de secuencias de comandos no autorizadas o proporcionar una ruta clara para el envĆo de datos robados a dominios externos maliciosos.
Riesgo bajo o nulo cuando
Para minimizar el riesgo cuando la versiĆ³n mĆ”s reciente de la API Lightning Locker aĆŗn no estĆ” activada, las organizaciones deben implementar una PolĆtica de seguridad de contenido (CSP) estricta para evitar la ejecuciĆ³n de secuencias de comandos no autorizadas y bloquear la exfiltraciĆ³n de datos a dominios no de confianza.
Consideraciones comerciales y de integraciĆ³n
La implementaciĆ³n de la versiĆ³n mĆ”s reciente de la API Lightning Locker requiere pruebas de regresiĆ³n minuciosas en un entorno sandbox para garantizar que los componentes personalizados y los paquetes gestionados externos permanecen compatibles con restricciones de seguridad actualizadas, como una desinfecciĆ³n HTML mĆ”s estricta y API de JavaScript bloqueadas, que de lo contrario podrĆan llevar a roturas funcionales o errores en tiempo de ejecuciĆ³n.
RemediaciĆ³n recomendada
Active la versiĆ³n de API mĆ”s reciente. Lightning Locker mejora la seguridad con cada actualizaciĆ³n de API.
Directrices de revisiĆ³n del estado de seguridad
N/A - No inspeccionado actualmente por la herramienta RevisiĆ³n de estado de seguridad.
