プラットフォーム
chrome
コンポーネント
pega-browser-extension
修正版
22.1.1
25.0.1
CVE-2026-1078は、Pega Browser Extension (PBE) における任意ファイル書き込みの脆弱性です。この脆弱性は、Pega Robotic Automationのバージョン22.1–R25を使用しているユーザーに影響を与え、悪意のあるウェブサイトへのアクセスによって悪用される可能性があります。影響を受けるユーザーは、最新バージョンへのアップグレードを推奨します。
この脆弱性を悪用されると、攻撃者は悪意のあるウェブサイトにユーザーを誘導することで、Pega Browser Extensionを通じて任意の場所にファイルを書き込むことが可能になります。これにより、システム設定の改ざん、機密情報の窃取、さらにはシステム全体の制御権の奪取といった深刻な被害が発生する可能性があります。特に、Pega Robotic Automationを業務に組み込んでいる環境では、自動化されたタスクが攻撃の踏み台として利用されるリスクも考慮する必要があります。
この脆弱性は、2026年4月7日に公開されました。現時点では、公開されているPoCは確認されていませんが、悪用される可能性は否定できません。CISA KEVリストへの登録状況は不明です。Pegaのセキュリティチームは、この脆弱性に関する情報を積極的に公開しており、ユーザーは最新の情報を常に確認することが重要です。
Organizations utilizing Pega Robotic Automation version 22.1–R25, particularly those with Robot Runtime users who frequently interact with external websites or untrusted sources, are at risk. Shared hosting environments where multiple users share the same browser instance could also amplify the potential impact.
• chrome: Inspect browser extensions installed and enabled. Check for unexpected file write operations within the Pega Browser Extension's context. Use Chrome DevTools to monitor network requests and identify suspicious URLs. • generic web: Monitor web traffic for requests to unusual file paths or with unexpected parameters. Examine browser history for visits to suspicious websites. • generic web: Review Pega Robotic Automation workflow configurations for any instances where the browser extension is interacting with external websites or resources.
disclosure
エクスプロイト状況
EPSS
0.05% (17% パーセンタイル)
CISA SSVC
この脆弱性への対応策として、Pega Robotic Automationをバージョン22.1–R25よりも新しいバージョンにアップグレードすることが最も効果的です。アップグレードが困難な場合は、悪意のあるウェブサイトへのアクセスを制限するファイアウォールやプロキシサーバーの設定、およびブラウザのセキュリティ設定の強化を検討してください。また、Pegaの公式セキュリティアドバイザリを参照し、推奨される緩和策を適用することも重要です。アップグレード後、PBEの動作を検証し、意図しないファイル書き込みが発生しないことを確認してください。
Pega Browser Extension (PBE) を修正されたバージョンにアップデートしてください。詳細な緩和策については、Pegasystems のセキュリティ修正ノート (https://support.pega.com/support-doc/pega-security-advisory-a26-vulnerability-remediation-note) を参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-1078は、Pega Browser Extension (PBE) における悪意のあるウェブサイト経由での任意のファイル書き込みを可能にする脆弱性です。Pega Robotic Automationのバージョン22.1–R25が影響を受けます。
Pega Robotic Automationのバージョン22.1–R25を使用し、Google ChromeまたはMicrosoft Edgeブラウザを使用している場合、影響を受ける可能性があります。
Pega Robotic Automationをバージョン22.1–R25よりも新しいバージョンにアップグレードしてください。アップグレードが困難な場合は、一時的な緩和策として、ファイアウォールやプロキシサーバーの設定を見直してください。
現時点では、公開されているPoCは確認されていませんが、悪用される可能性は否定できません。常に最新のセキュリティ情報を確認してください。
Pegaの公式セキュリティアドバイザリを参照してください。詳細はPegaのサポートサイトで確認できます。