• Инструмент AuraInspector нацелен на проверки контроля доступа в Salesforce Aura — UI-фреймворке для сайтов Experience Cloud.
• В тексте приводится пример: при доступе неаутентифицированных пользователей ко всем записям объекта Salesforce Account возможна эксфильтрация данных через метод getItems.
• Mandiant называет это «распространённой misconfiguration», встречающейся в реальных расследованиях и проверках.
• Ограничение выборки «до 2 000 записей за запрос» может обходиться изменением сортировки; метод описывается как непоследовательный и потенциально дающий дубликаты.
• Ещё один описанный обход связан со злоупотреблением GraphQL API, который доступен по умолчанию для guest-аккаунтов.
• Mandiant подчёркивает, что операции AuraInspector read-only и инструмент не вносит изменения в инстанс Salesforce.

Почему это важно: История про то, как сложность UI-слоя и прав доступа в корпоративных платформах может превращать «обычные настройки» в источник утечек. В описании инструмента акцент сделан на типовые сценарии злоупотребления, включая доступ гостевых пользователей и особенности API. Для команд, которые опираются на Experience Cloud и Aura, это сигнал к ревизии прав и к более строгому моделированию гостевого доступа.

На что обратить внимание: В тексте отдельно говорится, что GraphQL API доступен по умолчанию для guest-аккаунтов, и что Salesforce считает API не уязвимостью при корректных настройках доступа. Также отмечено, что Aura широко используется для legacy-функциональности даже при переходе на Lightning Web Components. Практический «следующий шаг» здесь подразумевается как проверка того, какие объекты и методы доступны гостям, и насколько ограничения выборки действительно сдерживают эксфильтрацию в конкретной конфигурации, а не на уровне предположений.