Pega Platform 8.1.0 至 25.1.1 版本受到用户界面组件中的 HTML 注入 (HTML Injection) 漏洞影响。需要具有开发者角色的高权限用户。
平台
other
组件
pega-platform
修复版本
25.1.2
CVE-2026-1564描述了Pega Platform中用户界面组件存在的HTML注入漏洞。该漏洞允许具有高权限和开发者角色的攻击者注入恶意HTML代码,可能导致跨站脚本攻击(XSS)或其他安全问题。受影响的版本包括Pega Platform 8.1.0到25.1.1。该漏洞已在Infinity 25.1.2版本中得到修复。
影响与攻击场景
CVE-2026-1564 影响 Pega Infinity 和 Pega Platform 的 8.1.0 到 25.1.1 版本。此 HTML 注入漏洞允许具有提升权限和开发人员角色的攻击者将恶意 HTML 代码注入到应用程序的用户界面中。 成功利用可能导致应用程序外观的操纵、用户浏览器中恶意脚本的执行、敏感信息的窃取,甚至控制应用程序。 此漏洞的严重程度在于需要一个具有特权的用户,但对数据机密性、完整性和可用性的潜在影响是巨大的。 应用安全更新对于降低此风险至关重要。
利用背景
此漏洞要求攻击者在 Pega 系统中具有开发人员角色和提升的权限。 这将攻击范围限制为内部用户或那些已破坏具有这些权限的帐户的用户。 可以通过操纵用户界面中的输入参数(例如文本字段或表单)来执行 HTML 注入。 一旦注入了恶意代码,它将在用户的浏览器中执行,从而允许攻击者执行各种操作,例如窃取 Cookie、将用户重定向到恶意网站或修改页面内容。 攻击的复杂性取决于攻击者对 Pega 应用程序架构和 HTML 注入技术的了解程度。
威胁情报
漏洞利用状态
EPSS
0.06% (18% 百分位)
CISA SSVC
受影响的软件
弱点分类 (CWE)
时间线
- 已保留
- 发布日期
- 修改日期
- EPSS 更新日期
缓解措施和替代方案
解决 CVE-2026-1564 的建议解决方案是升级到 Pega Infinity 25.1.2 或更高版本。 此更新包含防止 HTML 注入所需的修复程序。 期间,作为临时缓解措施,请限制对开发人员功能的访问,并在用户界面中显示之前仔细审查任何用户提供的任何数据。 实施强大的安全策略并定期进行安全审计是保护免受此类漏洞的关键实践。 缺少 KEV(知识条目验证)表明信息可能有限,建议监控 Pega 的官方来源以获取更新。
修复方法翻译中…
Actualice Pega Platform a la versión 25.1.2 o posterior para mitigar la vulnerabilidad de inyección de HTML. Consulte la nota de remediación de seguridad de Pegasystems para obtener instrucciones detalladas sobre cómo aplicar la corrección y verificar la mitigación.
CVE 安全通讯
漏洞分析和关键警报直接发送到您的邮箱。
常见问题
CVE-2026-1564 是什么 — Pega Platform 中的漏洞?
Pega Platform 的 8.1.0 到 25.1.1 版本会受到影响。
Pega Platform 中的 CVE-2026-1564 是否会影响我?
具有提升权限和开发人员角色的用户。
如何修复 Pega Platform 中的 CVE-2026-1564?
升级到 Pega Infinity 25.1.2 或更高版本。
CVE-2026-1564 是否正在被积极利用?
限制对开发人员功能的访问,并在用户界面中显示之前仔细审查任何用户提供的任何数据。
在哪里可以找到 Pega Platform 关于 CVE-2026-1564 的官方安全通告?
目前没有 KEV。