Usted estĆ” aquĆ:
Control de versiĆ³n de API de Cargador Lightning
La activaciĆ³n de la versiĆ³n mĆ”s reciente de la API Lightning Locker es un control de seguridad que garantiza que todos los componentes Lightning de su organizaciĆ³n se rigen por los parches de seguridad mĆ”s recientes.
Nombre de control
VersiĆ³n de API del Cargador Lightning
ConfiguraciĆ³n recomendada
- Utilizar mejoras de seguridad en versiĆ³n de API: seleccione la versiĆ³n de API mĆ”s reciente donde los componentes funcionaron correctamente
ConfiguraciĆ³n>ConfiguraciĆ³n de sesiĆ³n>VersiĆ³n de API de Lightning Locker.
DescripciĆ³n general de control
La activaciĆ³n de la versiĆ³n mĆ”s reciente de la API Lightning Locker es un control de seguridad que garantiza que todos los componentes Lightning de su organizaciĆ³n se rigen por los parches de seguridad y las mejoras arquitectĆ³nicas mĆ”s recientes proporcionados por Salesforce. Al seleccionar la versiĆ³n actual en ConfiguraciĆ³n de sesiĆ³n, los administradores fuerzan a los componentes a adherirse a las protecciones a nivel del navegador mĆ”s recientes, como el aislamiento de DOM refinado y las mitigaciones de secuencias de comandos de sitio cruzadas (XSS), garantizando que incluso los componentes heredados se beneficien de estrategias modernas de defensa en profundidad.
Riesgo de seguridad si no estĆ” configurado
La no activaciĆ³n de la versiĆ³n mĆ”s reciente de la API Lightning Locker deja a su organizaciĆ³n expuesta a vulnerabilidades de seguridad conocidas y riesgos de secuencias de comandos de sitio cruzadas (XSS).
Escenarios de amenazas
En un entorno que ejecuta una versiĆ³n desfasada de la API Lightning Locker, un actor de amenazas o un paquete gestionado malicioso podrĆa explotar vulnerabilidades conocidas no parcheadas que estĆ”n estrictamente bloqueadas en las versiones mĆ”s recientes. Aprovechando estas reglas de seguridad mĆ”s antiguas y menos restrictivas, el atacante puede ejecutar JavaScript arbitrario para omitir el aislamiento de DOM, permitiĆ©ndole raspar silenciosamente datos confidenciales de otros componentes o secuestrar la sesiĆ³n del usuario sin ser detectado.
Intervalo de puntuaje de CVSS estimado
CrĆtico (9,0 a 10,0).
Consideraciones de impacto de riesgo
El impacto de riesgo principal estĆ” dejando su organizaciĆ³n vulnerable a fallos de seguridad parcheados conocidos mientras aumenta simultĆ”neamente la probabilidad de degradaciĆ³n del desempeƱo y fallos de integraciĆ³n ya que las reglas de aislamiento heredadas no estĆ”n sincronizadas con los estĆ”ndares de seguridad de navegador modernos.
Mayor riesgo cuando
El riesgo de exfiltraciĆ³n de datos se amplifica significativamente por configuraciones permisivas de Content Security Policy (CSP) o CORS, que pueden permitir inadvertidamente la ejecuciĆ³n de secuencias de comandos no autorizadas o proporcionar una ruta clara para el envĆo de datos robados a dominios externos maliciosos.
Bajo o ningĆŗn riesgo cuando
Para minimizar el riesgo cuando la versiĆ³n mĆ”s reciente de la API Lightning Locker aĆŗn no estĆ” activada, las organizaciones deben implementar una PolĆtica de seguridad de contenidos (CSP) estricta para evitar la ejecuciĆ³n de secuencias de comandos no autorizadas y bloquear la exfiltraciĆ³n de datos en dominios no de confianza.
Consideraciones de negocio e integraciĆ³n
La implementaciĆ³n de la versiĆ³n mĆ”s reciente de la API Lightning Locker requiere pruebas de regresiĆ³n minuciosas en un entorno sandbox para garantizar que los componentes personalizados y los paquetes gestionados externos siguen siendo compatibles con restricciones de seguridad actualizadas, como una desinfecciĆ³n HTML mĆ”s estricta y API de JavaScript bloqueadas, que de lo contrario podrĆan provocar roturas funcionales o errores en el tiempo de ejecuciĆ³n.
RemediaciĆ³n recomendada
Active la versiĆ³n de API mĆ”s reciente. Lightning Locker mejora la seguridad con cada actualizaciĆ³n de API.
Directrices de revisiĆ³n del estado de seguridad
N/D: actualmente no inspeccionado por la herramienta RevisiĆ³n del estado de seguridad.
