Platform
other
Component
pega-platform
Opgelost in
25.1.2
CVE-2026-1711 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in de Pega Platform applicatie. Deze kwetsbaarheid stelt een aanvaller in staat om kwaadaardige scripts uit te voeren via een gebruikersinterface component, wat kan leiden tot ongeautoriseerde toegang of manipulatie van gegevens. De kwetsbaarheid treft versies van Pega Platform tussen 8.1.0 en 25.1.1, inclusief. Een fix is beschikbaar in Infinity 25.1.2.
CVE-2026-1711 heeft invloed op Pega Infinity, specifiek Pega Platform versies van 8.1.0 tot en met 25.1.1. Dit is een Stored Cross-Site Scripting (XSS) kwetsbaarheid, wat betekent dat een aanvaller kwaadaardige code in een gebruikersinterfacecomponent kan injecteren die in de browser van andere gebruikers wordt uitgevoerd. Een succesvolle exploitatie van deze kwetsbaarheid kan een aanvaller in staat stellen gevoelige informatie te stelen, acties uit te voeren namens een geauthenticeerde gebruiker of zelfs de integriteit van de Pega-applicatie te compromitteren. Het is cruciaal om op te merken dat deze kwetsbaarheid vereist dat de aanvaller verhoogde privileges en een ontwikkelaarrol binnen het Pega-systeem heeft. De ernst van deze kwetsbaarheid ligt in de mogelijkheid om gebruikers met belangrijke rollen te beïnvloeden en toegang te krijgen tot vertrouwelijke gegevens.
De opgeslagen XSS-kwetsbaarheid in CVE-2026-1711 wordt geëxploiteerd door kwaadaardige JavaScript-code in een Pega-gebruikersinterfacecomponent te injecteren. Deze code wordt opgeslagen in de Pega-database en uitgevoerd telkens wanneer een gebruiker de betreffende pagina bezoekt. Om deze kwetsbaarheid te exploiteren, heeft een aanvaller ontwikkelaarsrechten nodig en de mogelijkheid om de gebruikersinterface te wijzigen. De kwaadaardige code kan worden geïnjecteerd via formulieren, tekstvelden of andere gebruikersinterface-elementen. Zodra deze is geïnjecteerd, wordt de code uitgevoerd in de context van de gebruiker die de pagina bezoekt, waardoor de aanvaller informatie kan stelen of ongeautoriseerde acties kan uitvoeren. De complexiteit van de exploitatie hangt af van de exacte locatie van het injectiepunt en de beveiligingsmaatregelen die in Pega Platform zijn geïmplementeerd.
Organizations heavily reliant on Pega Platform for critical business processes, particularly those with a large number of users with developer roles, are at increased risk. Environments with legacy Pega Platform deployments or those lacking robust input validation practices are also more vulnerable.
disclosure
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
De oplossing om CVE-2026-1711 te mitigeren is het upgraden naar Pega Infinity 25.1.2 of een latere versie. Deze update bevat de nodige fixes om de XSS-kwetsbaarheid aan te pakken. Het wordt aanbevolen om deze update zo snel mogelijk toe te passen om het risico op exploitatie te verminderen. Controleer bovendien de beveiligingsconfiguraties van Pega Platform, inclusief toegangscontrolebeleid en validatie van invoergegevens, om de algehele systeembeveiliging te versterken. Regelmatig monitoren van Pega-auditlogboeken op verdachte activiteiten die een poging tot exploitatie kunnen aangeven, is ook essentieel. Het implementeren van een gelaagde beveiligingsstrategie is cruciaal om Pega-systemen te beschermen tegen kwetsbaarheden.
Actualice Pega Platform a la versión 25.1.2 o posterior para mitigar la vulnerabilidad de XSS. Consulte la nota de remediación de seguridad de Pegasystems (https://support.pega.com/support-doc/pega-security-advisory-d26-vulnerability-remediation-note) para obtener instrucciones detalladas y pasos de mitigación.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Opgeslagen XSS betekent dat de kwaadaardige code wordt opgeslagen in de database en telkens wordt uitgevoerd wanneer een gebruiker de pagina bezoekt.
De aanvaller heeft ontwikkelaarsrechten binnen Pega Platform nodig.
Ja, het upgraden naar Pega Infinity 25.1.2 of een latere versie is de aanbevolen oplossing.
Controleer beveiligingsconfiguraties, implementeer toegangscontrolebeleid en valideer invoergegevens.
Monitoren van Pega-auditlogboeken op verdachte activiteiten.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.