Salesforce CLI安装程序（sf-x64.exe）中存在一个严重漏洞，这使得攻击者能够在Windows系统上实现任意代码执行、权限提升和获取系统级访问权限。

该漏洞编号为CVE-2025-9844，其根源在于安装程序对可执行文件路径的处理不当，当软件从不可信来源获取时，这会使得恶意文件能够替代合法二进制文件执行。

路径劫持漏洞（CVE-2025-9844）

该漏洞利用了Salesforce-CLI安装程序在安装过程中解析文件路径的方式。当sf-x64.exe运行时，它会先从当前工作目录加载多个辅助可执行文件和动态链接库（DLL），之后才会转而从包含安装程序的目录加载。

攻击者若将一个精心制作的可执行文件（例如命名为sf-autoupdate.exe或sf-config.dll）放置在与合法组件相同的文件夹中，且文件名与合法组件一致，就可能导致安装程序加载并执行攻击者的代码。

由于安装程序默认以提升的权限运行，会在HKLM下写入注册表项并在LocalSystem下创建服务，因此注入的代码会继承系统级权限，从而能够完全接管主机。

执行时，安装程序会加载恶意的sf-autoupdate.exe，该程序通过在LocalSystem账户下创建反向shell服务来提升权限。攻击者随后利用该shell执行命令，并成功获取系统级输出。

受影响版本及缓解措施

所有2.106.6之前版本的Salesforce-CLI都受到此路径劫持漏洞的影响。

重要的是，只有从不可信的镜像或第三方仓库安装命令行界面（CLI）的用户才会面临风险；通过Salesforce官方网站直接下载的安装程序使用经过签名的安装包，该安装包会执行严格的路径解析和完整性检查。

为了补救，受影响的用户应立即卸载从非官方渠道获取的任何CLI版本，并对系统进行全面扫描，查找未知的可执行文件或可疑服务。

Salesforce已发布2.106.6版本，该版本通过硬编码绝对文件路径并在加载补充可执行文件前验证数字签名来修复此问题。

建议管理员仅允许从可信端点执行安装，并启用微软防御者应用程序控制（MDAC）策略，以限制在安装目录中运行未授权的二进制文件。

持续监控系统事件日志中在非标准路径下出现的意外服务创建或安装程序执行情况，将有助于及早发现未遂的漏洞利用行为。