Plateforme
javascript
Composant
pega-browser-extension
Corrigé dans
3.1.45
La vulnérabilité CVE-2026-1079 concerne une faille de Native Messaging Host au sein de l'extension Pega Browser Extension (PBE). Cette faille permet à un acteur malveillant d'exploiter PBE via un site web contenant du code malveillant, potentiellement affichant des boîtes de dialogue inattendues. Elle affecte les utilisateurs de Pega Robotic Automation ayant installé PBE, notamment les versions de 0.0.0 à 3.1.45. Une correction est disponible dans la version 3.1.45.
La vulnérabilité CVE-2026-1079 dans l'Extension Navigateur Pega (PBE) représente un risque pour les utilisateurs de Pega Robotic Automation qui ont la PBE installée. Il s'agit d'une vulnérabilité dans l'hôte de messagerie native qui pourrait être exploitée via un site web malveillant. La visite d'un tel site pourrait déclencher l'affichage d'une boîte de message inattendue. Cette vulnérabilité ne nécessite pas d'authentification et pourrait permettre à un attaquant d'exécuter du code arbitraire dans le contexte du navigateur de l'utilisateur, compromettant potentiellement les données et les opérations. La gravité de cette vulnérabilité nécessite une attention immédiate pour éviter d'éventuelles attaques.
Un attaquant pourrait créer un site web malveillant contenant du code conçu pour exploiter la vulnérabilité de l'hôte de messagerie native dans l'Extension Navigateur Pega (PBE). Lorsqu'un utilisateur ayant la PBE installée visite ce site, le code malveillant pourrait s'exécuter, affichant une boîte de message inattendue. Cette attaque pourrait faire partie d'une campagne de phishing ou une tentative de compromettre la sécurité du système de l'utilisateur. La nature de la vulnérabilité permet aux attaquants d'accéder potentiellement à des informations confidentielles ou d'effectuer des actions non autorisées au nom de l'utilisateur. L'absence d'authentification requise pour exploiter cette vulnérabilité la rend particulièrement préoccupante.
Organizations utilizing Pega Robotic Automation and its associated Pega Browser Extension are at risk. Specifically, users who frequently interact with external websites or those who have not recently updated their browser extensions are more vulnerable. Shared hosting environments where multiple users share the same browser instance could also amplify the risk.
• javascript / browser: Inspect browser extension permissions for unusual or excessive access requests. Monitor network traffic for suspicious connections originating from the Pega Browser Extension.
// Example: Check extension permissions in Chrome DevTools
chrome.permissions.getAll(function(permissions) {
console.log(permissions);
});disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 17%)
CISA SSVC
La solution pour atténuer CVE-2026-1079 consiste à mettre à jour l'Extension Navigateur Pega (PBE) à la version 3.1.45 ou supérieure. Cette mise à jour inclut les correctifs nécessaires pour résoudre la vulnérabilité de l'hôte de messagerie native. Les administrateurs système et les utilisateurs de Pega Robotic Automation sont fortement encouragés à appliquer cette mise à jour dès que possible. De plus, les utilisateurs doivent faire preuve de prudence lors de la navigation sur des sites web inconnus ou suspects et maintenir leurs navigateurs et leurs systèmes d'exploitation à jour avec les derniers correctifs de sécurité. L'application rapide de cette mise à jour est essentielle pour se protéger contre d'éventuelles attaques.
Actualice la Pega Browser Extension (PBE) a la versión 3.1.45 o superior para mitigar la vulnerabilidad. Consulte la documentación de Pegasystems para obtener instrucciones detalladas sobre cómo actualizar la extensión y asegurar su entorno.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un composant qui permet la communication entre une extension de navigateur et une application native sur le système d'exploitation.
C'est un identifiant unique pour cette vulnérabilité, facilitant son suivi et sa référence.
Pendant ce temps, évitez de visiter des sites web inconnus et maintenez votre navigateur à jour.
Oui, elle affecte tous les utilisateurs de Pega Robotic Automation qui ont l'Extension Navigateur Pega installée.
La mise à jour est disponible via les canaux de téléchargement officiels de Pega.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.