Plataforma
java
Componente
pega-infinity
Corregido en
24.1.2
El CVE-2024-10094 afecta a las versiones de Pega Platform desde 6.x hasta Infinity 24.1.1, presentando un problema de Control Inadecuado de Generación de Código. Esta vulnerabilidad permite a un atacante ejecutar código arbitrario en el sistema, comprometiendo la confidencialidad, integridad y disponibilidad de los datos. La versión corregida es 24.1.2, y se recomienda aplicar la actualización lo antes posible.
La gravedad de este CVE radica en la posibilidad de ejecución remota de código (RCE). Un atacante podría explotar esta vulnerabilidad para inyectar código malicioso en el sistema Pega Infinity, obteniendo control total sobre el servidor. Esto podría resultar en la exfiltración de datos sensibles, la modificación de información crítica, la interrupción de servicios y, en última instancia, el compromiso completo del entorno. La falta de controles adecuados en la generación de código permite a un atacante manipular el proceso y ejecutar comandos no autorizados. El impacto potencial es significativo, especialmente en entornos donde Pega Infinity gestiona información confidencial o procesos críticos de negocio.
El CVE-2024-10094 ha sido publicado recientemente (2024-11-20) y su CVSS score de 9.1 (CRÍTICO) indica una alta probabilidad de explotación. Actualmente no se han reportado campañas de explotación activas, pero la disponibilidad de la vulnerabilidad y su alta gravedad sugieren que podría ser objeto de ataques en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations heavily reliant on Pega Infinity for critical business processes are at significant risk. This includes companies in industries such as financial services, healthcare, and government, where data security and system integrity are paramount. Specifically, deployments using custom code generation features or integrations with external systems are particularly vulnerable.
• java / server: Monitor Pega Infinity logs for unusual code generation activity. Look for patterns indicative of code injection attempts.
grep -i 'error|exception|code generation' /path/to/pega/logs/*• java / supply-chain: Examine Pega Infinity's dependencies for known vulnerabilities that could be chained with this vulnerability. Use dependency scanning tools. • generic web: Monitor Pega Infinity endpoints for unexpected behavior or responses that might indicate code execution. • database (mysql, redis, mongodb, postgresql): N/A - This vulnerability is not directly related to database systems. • wordpress / composer / npm: N/A - This vulnerability is not related to these platforms.
disclosure
Estado del Exploit
EPSS
0.39% (60% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para el CVE-2024-10094 es actualizar a la versión 24.1.2 o superior de Pega Infinity. Antes de aplicar la actualización, se recomienda realizar una copia de seguridad completa del sistema para poder revertir en caso de problemas. Si la actualización no es inmediatamente posible, se recomienda revisar la documentación de Pega para identificar posibles configuraciones o parches temporales que puedan reducir el riesgo. Aunque no hay reglas WAF específicas conocidas, se puede implementar un monitoreo de la actividad inusual en el sistema Pega Infinity, buscando patrones de ejecución de código sospechosos. Después de la actualización, confirme la mitigación verificando que el proceso de generación de código se ejecute sin errores y que no se puedan inyectar comandos maliciosos.
Actualice Pega Platform a una versión posterior a 24.1.1 que incluya la corrección para la vulnerabilidad de control inadecuado de la generación de código. Consulte el advisory de seguridad de Pega para obtener detalles específicos sobre la actualización y las mitigaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-10094 is a CRITICAL vulnerability affecting Pega Infinity versions 6.0–24.1.1, allowing potential code execution due to improper code generation controls.
If you are using Pega Infinity versions 6.0 through 24.1.1, you are potentially affected by this vulnerability. Upgrade to 24.1.2 or later to mitigate the risk.
The recommended fix is to upgrade to Pega Infinity version 24.1.2 or later. If immediate upgrade is not possible, restrict access to code generation functionalities.
As of now, there are no confirmed reports of active exploitation, but the high severity warrants immediate action and patching.
Refer to the official Pega Platform Security Advisories page for the latest information: [https://www.pega.com/security-advisories](https://www.pega.com/security-advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.