漏洞关键信息 漏洞描述 Salesforce Security 识别并解决了 "Agentforce Vibes extension" 和 "MuleSoft Anypoint Code Builder for Desktop" 环境中的漏洞。受影响的版本包括 MuleSoft Anypoint Code Builder for Desktop Extension Pack 版本 1.11.6 之前和 Agentforce Vibes extension 版本 3.2.0 之前。以下是漏洞的详细信息: CVE-2025-10875, CVE-2025-64320: 其中一个代理工具中的漏洞允许在未经用户批准的情况下执行任意命令。当与提示注入结合时,该漏洞可能导致远程代码执行,可能授予对受害者 Salesforce 组织的完全访问权限。CVSSv4 评分:9.0 CVE-2025-64318, CVE-2025-64321: 编辑特殊配置文件可能允许执行任意命令。当与提示注入结合时,这可能导致远程代码执行,可能授予对受害者 Salesforce 组织的完全访问权限。CVSSv4 评分:9.0 CVE-2025-64319, CVE-2025-64322: 编辑特殊工作区文件可能允许执行任意命令。当与提示注入结合时,这可能导致远程代码执行,可能授予对受害者 Salesforce 组织的完全访问权限。CVSSv4 评分:9.0 解决方案 "Agentforce Vibes" 和 "Anypoint Code Builder - Platform Extension" 产品需要更新其各自的扩展以解决此问题。通常,这两个产品会自动检索最新更新并提示用户通过点击扩展面板中的 "Restart Extensions" 按钮来应用更新。