MEDIUMCVE-2026-1079

Pega 浏览器扩展 (PBE) 中的原生消息主机漏洞影响所有版本的 Pega Robotic Automation 用户，这些用户已安装 Pega 浏览器扩展。

平台

javascript

组件

pega-browser-extension

修复版本

3.1.45

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

正在翻译为您的语言…

CVE-2026-1079 describes a native messaging host vulnerability within the Pega Browser Extension (PBE), a component of Pega Robotic Automation. This flaw allows a malicious website to potentially trigger unexpected message box displays, impacting user experience and potentially leading to further exploitation. The vulnerability affects versions of PBE from 0.0.0 through 3.1.45, and a fix is available in version 3.1.45.

影响与攻击场景

Pega Browser Extension (PBE) 中的 CVE-2026-1079 对安装了 PBE 的 Pega Robotic Automation 用户构成风险。此漏洞存在于本机消息传递主机中，可能通过恶意网站加以利用。访问此类网站可能会触发意外的消息框。此漏洞不需要身份验证，并且可能允许攻击者在用户的浏览器上下文中执行任意代码，从而可能损害数据和操作。此漏洞的严重性需要立即关注，以防止潜在攻击。

利用背景

攻击者可以创建一个包含旨在利用 Pega Browser Extension (PBE) 中本机消息传递主机漏洞的代码的恶意网站。当安装了 PBE 的用户访问此网站时，恶意代码可能会执行，并显示意外的消息框。此攻击可能是网络钓鱼活动的一部分，或尝试破坏用户系统安全的尝试。此漏洞的性质允许攻击者可能访问机密信息或代表用户执行未经授权的操作。为了利用此漏洞不需要身份验证，这使其特别令人担忧。

哪些人处于风险中翻译中…

Organizations utilizing Pega Robotic Automation and its associated Pega Browser Extension are at risk. Specifically, users who frequently interact with external websites or those who have not recently updated their browser extensions are more vulnerable. Shared hosting environments where multiple users share the same browser instance could also amplify the risk.

检测步骤翻译中…

• javascript / browser: Inspect browser extension permissions for unusual or excessive access requests. Monitor network traffic for suspicious connections originating from the Pega Browser Extension.

// Example: Check extension permissions in Chrome DevTools
chrome.permissions.getAll(function(permissions) {
  console.log(permissions);
});

攻击时间线

2026-04-07Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

EPSS

0.05% (17% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件pega-browser-extension

供应商Pegasystems

影响范围修复版本

0.0.0 – 3.1.443.1.45

弱点分类 (CWE)

CWE-284

时间线

已保留2026-01-16
发布日期2026-04-07
EPSS 更新日期2026-04-15

缓解措施和替代方案

减轻 CVE-2026-1079 的解决方案是将 Pega Browser Extension (PBE) 更新到版本 3.1.45 或更高版本。此更新包含必要的修复程序，以解决本机消息传递主机漏洞。强烈建议系统管理员和 Pega Robotic Automation 用户尽快应用此更新。此外，用户在浏览未知或可疑网站时应谨慎，并确保其浏览器和操作系统使用最新的安全补丁保持最新状态。及时应用此更新对于防止潜在攻击至关重要。

修复方法翻译中…

Actualice la Pega Browser Extension (PBE) a la versión 3.1.45 o superior para mitigar la vulnerabilidad. Consulte la documentación de Pegasystems para obtener instrucciones detalladas sobre cómo actualizar la extensión y asegurar su entorno.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-1079 是什么 — Pega Browser Extension (PBE) 中的漏洞？

它是一个组件，允许浏览器扩展程序和操作系统上的本机应用程序之间的通信。

Pega Browser Extension (PBE) 中的 CVE-2026-1079 是否会影响我？

这是一个此漏洞的唯一标识符，便于跟踪和引用。

如何修复 Pega Browser Extension (PBE) 中的 CVE-2026-1079？

在此期间，避免访问未知网站，并保持浏览器更新。

CVE-2026-1079 是否正在被积极利用？

是的，它会影响安装了 Pega Browser Extension 的所有 Pega Robotic Automation 用户。

在哪里可以找到 Pega Browser Extension (PBE) 关于 CVE-2026-1079 的官方安全通告？

更新可通过 Pega 的官方下载渠道提供。