Plataforma
other
Componente
pega-platform
Corrigido em
25.1.2
A Stored Cross-Site Scripting (XSS) vulnerability has been identified in Pega Platform versions 8.1.0 through 25.1.1. This vulnerability resides within a user interface component and allows an attacker to inject malicious scripts. Successful exploitation requires a high-privileged user with a developer role, potentially granting access to sensitive data or enabling further malicious actions within the platform. The vulnerability is resolved in version Infinity 25.1.2.
A vulnerabilidade CVE-2026-1711 afeta o Pega Infinity, especificamente as versões do Pega Platform de 8.1.0 a 25.1.1. Trata-se de uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada, o que significa que um atacante pode injetar código malicioso em um componente da interface do usuário que será executado no navegador de outros usuários. A exploração bem-sucedida desta vulnerabilidade pode permitir que um atacante roube informações confidenciais, execute ações em nome de um usuário autenticado ou até mesmo comprometa a integridade da aplicação Pega. É crucial notar que esta vulnerabilidade requer que o atacante tenha privilégios elevados e o papel de desenvolvedor dentro do sistema Pega. A gravidade desta vulnerabilidade reside na possibilidade de impactar usuários com funções importantes e acessar dados confidenciais.
A vulnerabilidade XSS armazenada em CVE-2026-1711 é explorada injetando código JavaScript malicioso em um componente da interface do usuário do Pega. Este código é armazenado no banco de dados do Pega e executado sempre que um usuário acessa a página afetada. Para explorar esta vulnerabilidade, um atacante precisa ter privilégios de desenvolvedor e a capacidade de modificar a interface do usuário. O código malicioso pode ser injetado através de formulários, campos de texto ou outros elementos da interface do usuário. Uma vez injetado, o código é executado no contexto do usuário que acessa a página, permitindo que o atacante roube informações ou execute ações não autorizadas. A complexidade da exploração depende da localização exata do ponto de injeção e das medidas de segurança implementadas no Pega Platform.
Organizations heavily reliant on Pega Platform for critical business processes, particularly those with a large number of users with developer roles, are at increased risk. Environments with legacy Pega Platform deployments or those lacking robust input validation practices are also more vulnerable.
disclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
A solução para mitigar a CVE-2026-1711 é atualizar para o Pega Infinity 25.1.2 ou uma versão posterior. Esta atualização inclui as correções necessárias para abordar a vulnerabilidade XSS. Recomenda-se aplicar esta atualização o mais breve possível para reduzir o risco de exploração. Além disso, revise as configurações de segurança do Pega Platform, incluindo as políticas de controle de acesso e as validações de entrada de dados, para fortalecer a segurança geral do sistema. Monitorar regularmente os logs de auditoria do Pega em busca de atividades suspeitas que possam indicar uma tentativa de exploração também é vital. A implementação de uma estratégia de segurança em camadas é fundamental para proteger os sistemas Pega contra vulnerabilidades.
Actualice Pega Platform a la versión 25.1.2 o posterior para mitigar la vulnerabilidad de XSS. Consulte la nota de remediación de seguridad de Pegasystems (https://support.pega.com/support-doc/pega-security-advisory-d26-vulnerability-remediation-note) para obtener instrucciones detalladas y pasos de mitigación.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS armazenada significa que o código malicioso é salvo no banco de dados e executado sempre que um usuário visualiza a página.
O atacante precisa de privilégios de desenvolvedor dentro do Pega Platform.
Sim, atualizar para o Pega Infinity 25.1.2 ou posterior é a solução recomendada.
Revise as configurações de segurança, implemente políticas de controle de acesso e valide a entrada de dados.
Monitore os logs de auditoria do Pega em busca de atividades suspeitas.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.