प्लेटफ़ॉर्म
other
घटक
pega-platform
में ठीक किया गया
25.1.2
CVE-2026-1564 describes an HTML Injection vulnerability discovered within the Pega Platform. This flaw allows an attacker, possessing a high privileged user account with a developer role, to inject malicious HTML into the application. The vulnerability affects versions 8.1.0 through 25.1.1 of the Pega Platform, and a patch is available in version Infinity 25.1.2.
CVE-2026-1564 Pega Infinity और Pega Platform के संस्करण 8.1.0 से 25.1.1 तक को प्रभावित करता है। यह HTML इंजेक्शन भेद्यता एक ऐसे हमलावर को एप्लिकेशन के उपयोगकर्ता इंटरफ़ेस में दुर्भावनापूर्ण HTML कोड इंजेक्ट करने की अनुमति देती है जिसके पास उन्नत विशेषाधिकार और एक डेवलपर भूमिका है। सफल शोषण से एप्लिकेशन के स्वरूप में हेरफेर, उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट का निष्पादन, संवेदनशील जानकारी की चोरी या यहां तक कि एप्लिकेशन का नियंत्रण हो सकता है। इस भेद्यता की गंभीरता विशेषाधिकार प्राप्त उपयोगकर्ता की आवश्यकता में निहित है, लेकिन डेटा की गोपनीयता, अखंडता और उपलब्धता पर संभावित प्रभाव महत्वपूर्ण है। इस जोखिम को कम करने के लिए सुरक्षा अपडेट लागू करना महत्वपूर्ण है।
इस भेद्यता के लिए हमलावर को Pega सिस्टम के भीतर एक डेवलपर भूमिका और उन्नत विशेषाधिकार होने की आवश्यकता होती है। यह शोषण के दायरे को आंतरिक उपयोगकर्ताओं या उन लोगों तक सीमित करता है जिन्होंने इन विशेषाधिकारों के साथ एक खाते से समझौता किया है। HTML इंजेक्शन को उपयोगकर्ता इंटरफ़ेस में इनपुट पैरामीटर (जैसे टेक्स्ट फ़ील्ड या फ़ॉर्म) में हेरफेर करके प्राप्त किया जा सकता है। एक बार दुर्भावनापूर्ण कोड इंजेक्ट हो जाने के बाद, यह उपयोगकर्ता के ब्राउज़र में निष्पादित होता है, जिससे हमलावर कुकीज़ चोरी करने, उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित करने या पृष्ठ सामग्री को संशोधित करने जैसे विभिन्न क्रियाएं करने की अनुमति मिलती है। शोषण की जटिलता हमलावर के Pega एप्लिकेशन आर्किटेक्चर और HTML इंजेक्शन तकनीकों के ज्ञान पर निर्भर करती है।
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVE-2026-1564 को संबोधित करने के लिए अनुशंसित समाधान Pega Infinity 25.1.2 या बाद के संस्करण में अपग्रेड करना है। इस अपडेट में HTML इंजेक्शन को रोकने के लिए आवश्यक फिक्स शामिल हैं। इस बीच, एक अस्थायी शमन उपाय के रूप में, विश्वसनीय उपयोगकर्ताओं को विकास कार्यों तक पहुंच को प्रतिबंधित करें और उपयोगकर्ता इंटरफ़ेस में प्रदर्शित करने से पहले उपयोगकर्ता द्वारा प्रदान किए गए किसी भी डेटा की सावधानीपूर्वक समीक्षा करें। मजबूत सुरक्षा नीतियों को लागू करना और नियमित सुरक्षा ऑडिट करना इस प्रकार की भेद्यता से खुद को बचाने के लिए आवश्यक अभ्यास हैं। KEV (ज्ञान प्रविष्टि सत्यापन) की अनुपस्थिति से पता चलता है कि जानकारी सीमित हो सकती है और Pega के आधिकारिक स्रोतों की निगरानी करके अपडेट की सिफारिश की जाती है।
Actualice Pega Platform a la versión 25.1.2 o posterior para mitigar la vulnerabilidad de inyección de HTML. Consulte la nota de remediación de seguridad de Pegasystems para obtener instrucciones detalladas sobre cómo aplicar la corrección y verificar la mitigación.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Pega Platform के संस्करण 8.1.0 से 25.1.1 तक प्रभावित हैं।
उन्नत विशेषाधिकार और एक डेवलपर भूमिका वाला उपयोगकर्ता।
Pega Infinity 25.1.2 या बाद के संस्करण में अपग्रेड करें।
विकास कार्यों तक पहुंच को प्रतिबंधित करें और उपयोगकर्ता इंटरफ़ेस में प्रदर्शित करने से पहले उपयोगकर्ता द्वारा प्रदान किए गए किसी भी डेटा की सावधानीपूर्वक समीक्षा करें।
नहीं, वर्तमान में कोई KEV उपलब्ध नहीं है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।