Plateforme
other
Composant
pega-platform
Corrigé dans
25.1.2
A Stored Cross-Site Scripting (XSS) vulnerability has been identified in Pega Platform versions 8.1.0 through 25.1.1. This vulnerability resides within a user interface component and allows an attacker to inject malicious scripts. Successful exploitation requires a high-privileged user with a developer role, potentially granting access to sensitive data or enabling further malicious actions within the platform. The vulnerability is resolved in version Infinity 25.1.2.
La vulnérabilité CVE-2026-1711 affecte Pega Infinity, plus précisément les versions de Pega Platform de 8.1.0 à 25.1.1. Il s'agit d'une vulnérabilité de Cross-Site Scripting (XSS) stockée, ce qui signifie qu'un attaquant peut injecter du code malveillant dans un composant de l'interface utilisateur qui s'exécutera dans le navigateur d'autres utilisateurs. L'exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant de voler des informations sensibles, d'effectuer des actions au nom d'un utilisateur authentifié ou de compromettre l'intégrité de l'application Pega. Il est crucial de noter que cette vulnérabilité nécessite que l'attaquant dispose de privilèges élevés et d'un rôle de développeur au sein du système Pega. La gravité de cette vulnérabilité réside dans la possibilité d'affecter les utilisateurs occupant des postes importants et d'accéder à des données confidentielles.
La vulnérabilité XSS stockée dans CVE-2026-1711 est exploitée en injectant du code JavaScript malveillant dans un composant de l'interface utilisateur de Pega. Ce code est stocké dans la base de données Pega et exécuté chaque fois qu'un utilisateur accède à la page affectée. Pour exploiter cette vulnérabilité, un attaquant doit disposer de privilèges de développeur et de la capacité de modifier l'interface utilisateur. Le code malveillant peut être injecté via des formulaires, des champs de texte ou d'autres éléments de l'interface utilisateur. Une fois injecté, le code s'exécute dans le contexte de l'utilisateur accédant à la page, ce qui permet à l'attaquant de voler des informations ou d'effectuer des actions non autorisées. La complexité de l'exploitation dépend de l'emplacement exact du point d'injection et des mesures de sécurité mises en œuvre dans Pega Platform.
Organizations heavily reliant on Pega Platform for critical business processes, particularly those with a large number of users with developer roles, are at increased risk. Environments with legacy Pega Platform deployments or those lacking robust input validation practices are also more vulnerable.
disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
La solution pour atténuer la CVE-2026-1711 est de mettre à niveau vers Pega Infinity 25.1.2 ou une version ultérieure. Cette mise à jour inclut les correctifs nécessaires pour résoudre la vulnérabilité XSS. Il est recommandé d'appliquer cette mise à jour dès que possible pour réduire le risque d'exploitation. De plus, examinez les configurations de sécurité de Pega Platform, y compris les politiques de contrôle d'accès et les validations de saisie de données, afin de renforcer la sécurité globale du système. Surveiller régulièrement les journaux d'audit de Pega à la recherche d'activités suspectes pouvant indiquer une tentative d'exploitation est également essentiel. La mise en œuvre d'une stratégie de sécurité multicouche est fondamentale pour protéger les systèmes Pega contre les vulnérabilités.
Actualice Pega Platform a la versión 25.1.2 o posterior para mitigar la vulnerabilidad de XSS. Consulte la nota de remediación de seguridad de Pegasystems (https://support.pega.com/support-doc/pega-security-advisory-d26-vulnerability-remediation-note) para obtener instrucciones detalladas y pasos de mitigación.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XSS stockée signifie que le code malveillant est enregistré dans la base de données et exécuté chaque fois qu'un utilisateur consulte la page.
L'attaquant a besoin de privilèges de développeur au sein de Pega Platform.
Oui, la mise à niveau vers Pega Infinity 25.1.2 ou une version ultérieure est la solution recommandée.
Examinez les configurations de sécurité, mettez en œuvre des politiques de contrôle d'accès et validez la saisie de données.
Surveillez les journaux d'audit de Pega à la recherche d'activités suspectes.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.