प्लेटफ़ॉर्म
other
घटक
pega-platform
में ठीक किया गया
25.1.2
A Stored Cross-Site Scripting (XSS) vulnerability has been identified in Pega Platform versions 8.1.0 through 25.1.1. This vulnerability resides within a user interface component and allows an attacker to inject malicious scripts. Successful exploitation requires a high-privileged user with a developer role, potentially granting access to sensitive data or enabling further malicious actions within the platform. The vulnerability is resolved in version Infinity 25.1.2.
CVE-2026-1711 Pega Infinity को प्रभावित करता है, विशेष रूप से Pega Platform के संस्करण 8.1.0 से 25.1.1 तक। यह एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जिसका अर्थ है कि एक हमलावर अन्य उपयोगकर्ताओं के ब्राउज़र में निष्पादित होने वाले दुर्भावनापूर्ण कोड को उपयोगकर्ता इंटरफ़ेस घटक में इंजेक्ट कर सकता है। इस भेद्यता का सफलतापूर्वक शोषण करने से एक हमलावर संवेदनशील जानकारी चुरा सकता है, प्रमाणित उपयोगकर्ता की ओर से कार्रवाई कर सकता है, या Pega एप्लिकेशन की अखंडता को खतरे में डाल सकता है। यह ध्यान रखना महत्वपूर्ण है कि इस भेद्यता के लिए हमलावर को Pega सिस्टम के भीतर उन्नत विशेषाधिकार और डेवलपर भूमिका की आवश्यकता होती है। इस भेद्यता की गंभीरता इस तथ्य में निहित है कि यह महत्वपूर्ण भूमिकाओं वाले उपयोगकर्ताओं को प्रभावित कर सकता है और गोपनीय डेटा तक पहुंच सकता है।
CVE-2026-1711 में संग्रहीत XSS भेद्यता का शोषण Pega उपयोगकर्ता इंटरफ़ेस घटक में दुर्भावनापूर्ण JavaScript कोड को इंजेक्ट करके किया जाता है। यह कोड Pega डेटाबेस में संग्रहीत होता है और जब कोई उपयोगकर्ता प्रभावित पृष्ठ तक पहुंचता है तो निष्पादित होता है। इस भेद्यता का शोषण करने के लिए, एक हमलावर को डेवलपर विशेषाधिकार और उपयोगकर्ता इंटरफ़ेस को संशोधित करने की क्षमता की आवश्यकता होती है। दुर्भावनापूर्ण कोड को फॉर्म, टेक्स्ट फ़ील्ड या अन्य उपयोगकर्ता इंटरफ़ेस तत्वों के माध्यम से इंजेक्ट किया जा सकता है। इंजेक्ट होने के बाद, कोड उस उपयोगकर्ता के संदर्भ में निष्पादित होता है जो पृष्ठ तक पहुंच रहा है, जिससे हमलावर जानकारी चुरा सकता है या अनधिकृत कार्रवाई कर सकता है। शोषण की जटिलता इंजेक्शन बिंदु के सटीक स्थान और Pega Platform में लागू सुरक्षा उपायों पर निर्भर करती है।
Organizations heavily reliant on Pega Platform for critical business processes, particularly those with a large number of users with developer roles, are at increased risk. Environments with legacy Pega Platform deployments or those lacking robust input validation practices are also more vulnerable.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVE-2026-1711 को कम करने का समाधान Pega Infinity 25.1.2 या बाद के संस्करण में अपग्रेड करना है। इस अपडेट में XSS भेद्यता को संबोधित करने के लिए आवश्यक फिक्स शामिल हैं। शोषण के जोखिम को कम करने के लिए इस अपडेट को जल्द से जल्द लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, पहुंच नियंत्रण नीतियों और डेटा इनपुट सत्यापन सहित Pega Platform की सुरक्षा कॉन्फ़िगरेशन की समीक्षा करें ताकि सिस्टम की समग्र सुरक्षा को मजबूत किया जा सके। Pega ऑडिट लॉग की नियमित रूप से निगरानी करना भी महत्वपूर्ण है ताकि शोषण के किसी भी प्रयास का संकेत देने वाली किसी भी संदिग्ध गतिविधि का पता चल सके। Pega सिस्टम को कमजोरियों से बचाने के लिए एक परतों वाली सुरक्षा रणनीति को लागू करना महत्वपूर्ण है।
Actualice Pega Platform a la versión 25.1.2 o posterior para mitigar la vulnerabilidad de XSS. Consulte la nota de remediación de seguridad de Pegasystems (https://support.pega.com/support-doc/pega-security-advisory-d26-vulnerability-remediation-note) para obtener instrucciones detalladas y pasos de mitigación.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
'संग्रहीत XSS' का मतलब है कि दुर्भावनापूर्ण कोड डेटाबेस में संग्रहीत होता है और जब कोई उपयोगकर्ता पृष्ठ को देखता है तो निष्पादित होता है।
एक हमलावर को Pega Platform के भीतर डेवलपर विशेषाधिकार की आवश्यकता होती है।
हाँ, Pega Infinity 25.1.2 या बाद के संस्करण में अपग्रेड करना अनुशंसित समाधान है।
सुरक्षा कॉन्फ़िगरेशन की समीक्षा करें, पहुंच नियंत्रण नीतियों को लागू करें और डेटा इनपुट को मान्य करें।
किसी भी संदिग्ध गतिविधि के लिए Pega ऑडिट लॉग की निगरानी करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।