Plataforma
other
Componente
pega-platform
Corrigido em
25.1.2
CVE-2026-1564 describes an HTML Injection vulnerability discovered within the Pega Platform. This flaw allows an attacker, possessing a high privileged user account with a developer role, to inject malicious HTML into the application. The vulnerability affects versions 8.1.0 through 25.1.1 of the Pega Platform, and a patch is available in version Infinity 25.1.2.
CVE-2026-1564 afeta o Pega Infinity e o Pega Platform nas versões de 8.1.0 a 25.1.1. Esta vulnerabilidade de injeção de HTML permite que um atacante com privilégios elevados e um papel de desenvolvedor injete código HTML malicioso na interface do usuário da aplicação. A exploração bem-sucedida pode resultar na manipulação da aparência da aplicação, na execução de scripts maliciosos no navegador de um usuário, no roubo de informações confidenciais ou até mesmo no controle da aplicação. A gravidade desta vulnerabilidade reside na necessidade de um usuário com privilégios, mas o impacto potencial na confidencialidade, integridade e disponibilidade dos dados é significativo. Aplicar a atualização de segurança é crucial para mitigar este risco.
Esta vulnerabilidade requer que o atacante tenha um papel de desenvolvedor e privilégios elevados dentro do sistema Pega. Isso limita o escopo da exploração a usuários internos ou àqueles que comprometeram uma conta com esses privilégios. A injeção de HTML pode ser alcançada manipulando parâmetros de entrada na interface do usuário, como campos de texto ou formulários. Uma vez que o código malicioso é injetado, ele é executado no navegador do usuário, permitindo que o atacante realize várias ações, como roubar cookies, redirecionar o usuário para sites maliciosos ou modificar o conteúdo da página. A complexidade da exploração depende do conhecimento do atacante sobre a arquitetura da aplicação Pega e as técnicas de injeção de HTML.
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
A solução recomendada para abordar o CVE-2026-1564 é atualizar para o Pega Infinity 25.1.2 ou uma versão posterior. Esta atualização inclui as correções necessárias para evitar a injeção de HTML. Enquanto isso, como medida de mitigação temporária, restrinja o acesso às funções de desenvolvimento a usuários confiáveis e revise cuidadosamente quaisquer dados fornecidos pelo usuário antes de exibi-los na interface do usuário. Implementar políticas de segurança robustas e realizar auditorias de segurança periódicas são práticas essenciais para proteger contra este tipo de vulnerabilidade. A ausência de um KEV (Knowledge Entry Verification) indica que as informações podem ser limitadas e recomenda-se monitorar as fontes oficiais da Pega para atualizações.
Actualice Pega Platform a la versión 25.1.2 o posterior para mitigar la vulnerabilidad de inyección de HTML. Consulte la nota de remediación de seguridad de Pegasystems para obtener instrucciones detalladas sobre cómo aplicar la corrección y verificar la mitigación.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
As versões do Pega Platform de 8.1.0 a 25.1.1 são vulneráveis.
Um usuário com privilégios elevados e um papel de desenvolvedor.
Atualizar para o Pega Infinity 25.1.2 ou uma versão posterior.
Restringir o acesso às funções de desenvolvimento e revisar cuidadosamente os dados fornecidos pelo usuário.
Não, atualmente não há um KEV disponível.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.