Fantasmas da Criptografia Passada: Como Lemos Todos os Seus Emails no Salesforce Marketing Cloud

A Searchlight Cyber encadeou uma injeção de template AMPScript (via TreatAsContent e uma dupla avaliação padrão de linhas de assunto de e-mail) com um CBC padding oracle no parâmetro qs, compartilhado por todos os tenants do SFMC. Em seguida, contornou a blocklist de parâmetros reservados do MicrositeURL contrabandeando =0&LID=1&j=2&m=3&ls=4 em um único argumento para forjar strings de consulta criptografadas arbitrárias entre tenants. Um esquema XOR legado, com chave baseada em uma string estática repetitiva e um checksum 0xFFFF ^ sum(bytes), ainda era validado em tenants recém-criados, reduzindo a enumeração do SubscriberID 'ls' a uma requisição HTTP por tentativa e expondo as data views _Subscribers, _Sent, _Job, _Click e _SMSMessageTracking em todas as instâncias da Fortune 500 hospedadas na plataforma. A Salesforce implementou AES-GCM, expirou todos os links anteriores a 23 de janeiro de 2026 às 21:00 UTC e desativou a dupla avaliação de linhas de assunto sob as CVEs CVE-2026-22585, CVE-2026-22586, CVE-2026-22582, CVE-2026-22583 e CVE-2026-2298. Portanto, os defensores devem confirmar que nenhum link de e-mail de marketing permanece fixado ao formato antigo, auditar qualquer AMPScript customizado que passe entrada de assinante para TreatAsContent e considerar qualquer URL renderizada historicamente pelo SFMC como não confiável.