Plateforme
other
Composant
pega-platform
Corrigé dans
25.1.2
CVE-2026-1564 describes an HTML Injection vulnerability discovered within the Pega Platform. This flaw allows an attacker, possessing a high privileged user account with a developer role, to inject malicious HTML into the application. The vulnerability affects versions 8.1.0 through 25.1.1 of the Pega Platform, and a patch is available in version Infinity 25.1.2.
CVE-2026-1564 affecte Pega Infinity et Pega Platform dans les versions 8.1.0 à 25.1.1. Cette vulnérabilité d'injection HTML permet à un attaquant disposant de privilèges élevés et d'un rôle de développeur d'injecter du code HTML malveillant dans l'interface utilisateur de l'application. Une exploitation réussie peut entraîner la manipulation de l'apparence de l'application, l'exécution de scripts malveillants dans le navigateur d'un utilisateur, le vol d'informations sensibles ou même le contrôle de l'application. La gravité de cette vulnérabilité réside dans la nécessité d'un utilisateur privilégié, mais l'impact potentiel sur la confidentialité, l'intégrité et la disponibilité des données est significatif. L'application de la mise à jour de sécurité est cruciale pour atténuer ce risque.
Cette vulnérabilité nécessite que l'attaquant dispose d'un rôle de développeur et de privilèges élevés au sein du système Pega. Cela limite la portée de l'exploitation aux utilisateurs internes ou à ceux qui ont compromis un compte disposant de ces privilèges. L'injection HTML peut être réalisée en manipulant les paramètres d'entrée dans l'interface utilisateur, tels que les champs de texte ou les formulaires. Une fois le code malveillant injecté, il s'exécute dans le navigateur de l'utilisateur, permettant à l'attaquant d'effectuer diverses actions, telles que le vol de cookies, le renvoi de l'utilisateur vers des sites Web malveillants ou la modification du contenu de la page. La complexité de l'exploitation dépend de la connaissance de l'attaquant de l'architecture de l'application Pega et des techniques d'injection HTML.
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
La solution recommandée pour résoudre CVE-2026-1564 est de mettre à niveau vers Pega Infinity 25.1.2 ou une version ultérieure. Cette mise à jour inclut les correctifs nécessaires pour empêcher l'injection HTML. En attendant, comme mesure d'atténuation temporaire, restreignez l'accès aux fonctions de développement aux utilisateurs de confiance et examinez attentivement toutes les données fournies par l'utilisateur avant de les afficher dans l'interface utilisateur. La mise en œuvre de politiques de sécurité robustes et la réalisation d'audits de sécurité périodiques sont des pratiques essentielles pour se protéger contre ce type de vulnérabilité. L'absence d'un KEV (Knowledge Entry Verification) indique que les informations peuvent être limitées et qu'il est recommandé de surveiller les sources officielles de Pega pour obtenir des mises à jour.
Actualice Pega Platform a la versión 25.1.2 o posterior para mitigar la vulnerabilidad de inyección de HTML. Consulte la nota de remediación de seguridad de Pegasystems para obtener instrucciones detalladas sobre cómo aplicar la corrección y verificar la mitigación.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions de Pega Platform de 8.1.0 à 25.1.1 sont vulnérables.
Un utilisateur disposant de privilèges élevés et d'un rôle de développeur.
Mettre à niveau vers Pega Infinity 25.1.2 ou une version ultérieure.
Restreindre l'accès aux fonctions de développement et examiner attentivement les données fournies par l'utilisateur.
Non, il n'y a actuellement aucun KEV disponible.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.