Platform
other
Component
pega-platform
Opgelost in
25.1.2
CVE-2026-1564 describes an HTML Injection vulnerability discovered within the Pega Platform. This flaw allows an attacker, possessing a high privileged user account with a developer role, to inject malicious HTML into the application. The vulnerability affects versions 8.1.0 through 25.1.1 of the Pega Platform, and a patch is available in version Infinity 25.1.2.
CVE-2026-1564 heeft invloed op Pega Infinity en Pega Platform versies 8.1.0 tot en met 25.1.1. Deze HTML-injectie kwetsbaarheid stelt een aanvaller met verhoogde privileges en een ontwikkelaarrol in staat om kwaadaardige HTML-code in de gebruikersinterface van de applicatie te injecteren. Een succesvolle exploitatie kan leiden tot manipulatie van het uiterlijk van de applicatie, de uitvoering van kwaadaardige scripts in de browser van een gebruiker, diefstal van gevoelige informatie of zelfs controle over de applicatie. De ernst van deze kwetsbaarheid ligt in de noodzaak van een bevoorrechte gebruiker, maar de potentiële impact op de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens is aanzienlijk. Het toepassen van de beveiligingsupdate is cruciaal om dit risico te beperken.
Deze kwetsbaarheid vereist dat de aanvaller een ontwikkelaarrol en verhoogde privileges binnen het Pega-systeem heeft. Dit beperkt de reikwijdte van de exploitatie tot interne gebruikers of diegenen die een account met deze privileges hebben gecompromitteerd. HTML-injectie kan worden bereikt door invoerparameters in de gebruikersinterface te manipuleren, zoals tekstvelden of formulieren. Zodra de kwaadaardige code is geïnjecteerd, wordt deze uitgevoerd in de browser van de gebruiker, waardoor de aanvaller verschillende acties kan uitvoeren, zoals het stelen van cookies, het doorverwijzen van de gebruiker naar kwaadaardige websites of het wijzigen van de inhoud van de pagina. De complexiteit van de exploitatie is afhankelijk van de kennis van de aanvaller van de Pega-applicatiearchitectuur en HTML-injectietechnieken.
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
De aanbevolen oplossing om CVE-2026-1564 aan te pakken is het upgraden naar Pega Infinity 25.1.2 of een latere versie. Deze update bevat de nodige fixes om HTML-injectie te voorkomen. In de tussentijd, als tijdelijke mitigatie, beperk dan de toegang tot ontwikkelingsfuncties tot vertrouwde gebruikers en controleer alle door de gebruiker verstrekte gegevens zorgvuldig voordat deze in de gebruikersinterface worden weergegeven. Het implementeren van robuuste beveiligingsbeleid en het uitvoeren van periodieke beveiligingsaudits zijn essentiële praktijken om u te beschermen tegen dit type kwetsbaarheid. Het ontbreken van een KEV (Knowledge Entry Verification) geeft aan dat de informatie mogelijk beperkt is en het wordt aanbevolen om officiële Pega-bronnen te volgen voor updates.
Actualice Pega Platform a la versión 25.1.2 o posterior para mitigar la vulnerabilidad de inyección de HTML. Consulte la nota de remediación de seguridad de Pegasystems para obtener instrucciones detalladas sobre cómo aplicar la corrección y verificar la mitigación.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Pega Platform versies 8.1.0 tot en met 25.1.1 zijn kwetsbaar.
Een gebruiker met verhoogde privileges en een ontwikkelaarrol.
Upgrade naar Pega Infinity 25.1.2 of een latere versie.
Beperk de toegang tot ontwikkelingsfuncties en controleer de door de gebruiker verstrekte gegevens zorgvuldig.
Nee, er is momenteel geen KEV beschikbaar.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.