MEDIUMCVE-2026-1711

Pega Platform バージョン 8.1.0 から 25.1.1 までに、ユーザーインターフェースコンポーネントにおける Stored Cross-Site Scripting (Stored XSS) の脆弱性が存在します。高い権限を持つ開発者ロールのユーザーが必要です。

プラットフォーム

other

コンポーネント

pega-platform

修正版

25.1.2

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

あなたの言語に翻訳中…

A Stored Cross-Site Scripting (XSS) vulnerability has been identified in Pega Platform versions 8.1.0 through 25.1.1. This vulnerability resides within a user interface component and allows an attacker to inject malicious scripts. Successful exploitation requires a high-privileged user with a developer role, potentially granting access to sensitive data or enabling further malicious actions within the platform. The vulnerability is resolved in version Infinity 25.1.2.

影響と攻撃シナリオ

CVE-2026-1711は、Pega Infinityに影響を与え、特にPega Platformのバージョン8.1.0から25.1.1までが対象です。これは、Stored Cross-Site Scripting（XSS）の脆弱性であり、攻撃者が他のユーザーのブラウザで実行される悪意のあるコードをユーザーインターフェースコンポーネントに注入できることを意味します。この脆弱性を悪用すると、攻撃者は機密情報を盗んだり、認証されたユーザーになりすまして操作を実行したり、Pegaアプリケーションの整合性を損なう可能性があります。この脆弱性は、攻撃者がPegaシステム内で高い権限と開発者ロールを持っていることを必要とすることが重要です。この脆弱性の重大性は、重要な役割のユーザーに影響を与え、機密データにアクセスする可能性があることにあります。

悪用の状況

CVE-2026-1711のStored XSS脆弱性は、Pegaのユーザーインターフェースコンポーネントに悪意のあるJavaScriptコードを注入することで悪用されます。このコードはPegaデータベースに保存され、影響を受けるページにユーザーがアクセスするたびに実行されます。この脆弱性を悪用するには、攻撃者は開発者権限を持っており、ユーザーインターフェースを変更できる必要があります。悪意のあるコードは、フォーム、テキストフィールド、またはその他のユーザーインターフェース要素を通じて注入できます。注入されると、コードはページにアクセスするユーザーのコンテキストで実行され、攻撃者が情報を盗んだり、許可されていないアクションを実行したりできるようになります。悪用の複雑さは、注入ポイントの正確な場所とPega Platformに実装されているセキュリティ対策によって異なります。

リスク対象者翻訳中…

Organizations heavily reliant on Pega Platform for critical business processes, particularly those with a large number of users with developer roles, are at increased risk. Environments with legacy Pega Platform deployments or those lacking robust input validation practices are also more vulnerable.

攻撃タイムライン

2026-04-15Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.06% (18% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントpega-platform

ベンダーPegasystems

影響範囲修正版

8.1.0 – 25.1.125.1.2

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2026-01-30
公開日2026-04-15
更新日2026-04-16
EPSS 更新日2026-04-23

緩和策と回避策

CVE-2026-1711を軽減するための解決策は、Pega Infinity 25.1.2以降にアップグレードすることです。このアップデートには、XSS脆弱性を修正するために必要な修正が含まれています。悪用リスクを軽減するために、できるだけ早くこのアップデートを適用することをお勧めします。さらに、アクセス制御ポリシーやデータ入力検証を含むPega Platformのセキュリティ構成を確認して、システムの全体的なセキュリティを強化します。Pega監査ログを定期的に監視して、搾取の試みを意味する可能性のある疑わしいアクティビティがないか確認することも重要です。多層防御戦略を実装することは、Pegaシステムを脆弱性から保護するために不可欠です。

修正方法翻訳中…

Actualice Pega Platform a la versión 25.1.2 o posterior para mitigar la vulnerabilidad de XSS. Consulte la nota de remediación de seguridad de Pegasystems (https://support.pega.com/support-doc/pega-security-advisory-d26-vulnerability-remediation-note) para obtener instrucciones detalladas y pasos de mitigación.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-1711 とは何ですか？（Pega Platform の Cross-Site Scripting (XSS)）

'Stored XSS'とは、悪意のあるコードがデータベースに保存され、ユーザーがページを閲覧するたびに実行されることを意味します。

Pega Platform の CVE-2026-1711 による影響を受けていますか？

攻撃者はPega Platform内で開発者権限が必要です。

Pega Platform の CVE-2026-1711 を修正するにはどうすればよいですか？

はい、Pega Infinity 25.1.2以降にアップデートすることが推奨される解決策です。

CVE-2026-1711 は積極的に悪用されていますか？

セキュリティ構成を確認し、アクセス制御ポリシーを実装し、データ入力を検証してください。

CVE-2026-1711 に関する Pega Platform の公式アドバイザリはどこで確認できますか？

Pega監査ログを監視して、疑わしいアクティビティがないか確認してください。