プラットフォーム
other
コンポーネント
pega-platform
修正版
25.1.2
CVE-2026-1564 describes an HTML Injection vulnerability discovered within the Pega Platform. This flaw allows an attacker, possessing a high privileged user account with a developer role, to inject malicious HTML into the application. The vulnerability affects versions 8.1.0 through 25.1.1 of the Pega Platform, and a patch is available in version Infinity 25.1.2.
CVE-2026-1564 は、Pega Infinity および Pega Platform のバージョン 8.1.0 から 25.1.1 までに影響を与えます。この HTML インジェクション脆弱性は、特権ユーザーと開発者ロールを持つ攻撃者が、アプリケーションのユーザーインターフェイスに悪意のある HTML コードを注入することを可能にします。 攻撃が成功すると、アプリケーションの外観の操作、ユーザーのブラウザでの悪意のあるスクリプトの実行、機密情報の窃盗、さらにはアプリケーションの制御につながる可能性があります。 この脆弱性の重大度は、特権ユーザーが必要であることに起因しますが、データ機密性、完全性、可用性への潜在的な影響は大きいです。 このリスクを軽減するために、セキュリティアップデートを適用することが重要です。
この脆弱性は、攻撃者が Pega システム内で開発者ロールと特権を持っていることを必要とします。 これにより、攻撃の範囲は内部ユーザーまたはこれらの特権を持つアカウントを侵害したユーザーに制限されます。 HTML インジェクションは、テキストフィールドやフォームなどのユーザーインターフェイスの入力パラメータを操作することによって実現できます。 悪意のあるコードが注入されると、ユーザーのブラウザで実行され、攻撃者が Cookie の窃盗、ユーザーを悪意のある Web サイトへのリダイレクト、またはページコンテンツの変更など、さまざまなアクションを実行できるようになります。 攻撃の複雑さは、攻撃者が Pega アプリケーションアーキテクチャと HTML インジェクション技術についてどの程度知っているかに依存します。
エクスプロイト状況
EPSS
0.06% (18% パーセンタイル)
CISA SSVC
CVE-2026-1564 に対処するための推奨される解決策は、Pega Infinity 25.1.2 以降にアップグレードすることです。 このアップデートには、HTML インジェクションを防ぐために必要な修正が含まれています。 それまでの間、一時的な軽減策として、信頼できるユーザーへの開発機能へのアクセスを制限し、ユーザーインターフェイスに表示する前に、ユーザーが提供するすべてのデータを注意深く確認してください。 ロバストなセキュリティポリシーを実装し、定期的なセキュリティ監査を実施することは、このタイプの脆弱性から保護するための重要なプラクティスです。 KEV(Knowledge Entry Verification)がないことは、情報が限られている可能性があり、Pega の公式ソースを監視して更新情報を入手することをお勧めすることを示しています。
Actualice Pega Platform a la versión 25.1.2 o posterior para mitigar la vulnerabilidad de inyección de HTML. Consulte la nota de remediación de seguridad de Pegasystems para obtener instrucciones detalladas sobre cómo aplicar la corrección y verificar la mitigación.
脆弱性分析と重要アラートをメールでお届けします。
Pega Platform のバージョン 8.1.0 から 25.1.1 までが脆弱です。
特権と開発者ロールを持つユーザー。
Pega Infinity 25.1.2 以降にアップグレードしてください。
開発機能へのアクセスを制限し、ユーザーが提供するデータを注意深く確認してください。
いいえ、現在 KEV は利用できません。