平台
other
组件
pega-platform
修复版本
25.1.2
CVE-2026-1564描述了Pega Platform中用户界面组件存在的HTML注入漏洞。该漏洞允许具有高权限和开发者角色的攻击者注入恶意HTML代码,可能导致跨站脚本攻击(XSS)或其他安全问题。受影响的版本包括Pega Platform 8.1.0到25.1.1。该漏洞已在Infinity 25.1.2版本中得到修复。
CVE-2026-1564 影响 Pega Infinity 和 Pega Platform 的 8.1.0 到 25.1.1 版本。此 HTML 注入漏洞允许具有提升权限和开发人员角色的攻击者将恶意 HTML 代码注入到应用程序的用户界面中。 成功利用可能导致应用程序外观的操纵、用户浏览器中恶意脚本的执行、敏感信息的窃取,甚至控制应用程序。 此漏洞的严重程度在于需要一个具有特权的用户,但对数据机密性、完整性和可用性的潜在影响是巨大的。 应用安全更新对于降低此风险至关重要。
此漏洞要求攻击者在 Pega 系统中具有开发人员角色和提升的权限。 这将攻击范围限制为内部用户或那些已破坏具有这些权限的帐户的用户。 可以通过操纵用户界面中的输入参数(例如文本字段或表单)来执行 HTML 注入。 一旦注入了恶意代码,它将在用户的浏览器中执行,从而允许攻击者执行各种操作,例如窃取 Cookie、将用户重定向到恶意网站或修改页面内容。 攻击的复杂性取决于攻击者对 Pega 应用程序架构和 HTML 注入技术的了解程度。
漏洞利用状态
EPSS
0.06% (18% 百分位)
CISA SSVC
解决 CVE-2026-1564 的建议解决方案是升级到 Pega Infinity 25.1.2 或更高版本。 此更新包含防止 HTML 注入所需的修复程序。 期间,作为临时缓解措施,请限制对开发人员功能的访问,并在用户界面中显示之前仔细审查任何用户提供的任何数据。 实施强大的安全策略并定期进行安全审计是保护免受此类漏洞的关键实践。 缺少 KEV(知识条目验证)表明信息可能有限,建议监控 Pega 的官方来源以获取更新。
Actualice Pega Platform a la versión 25.1.2 o posterior para mitigar la vulnerabilidad de inyección de HTML. Consulte la nota de remediación de seguridad de Pegasystems para obtener instrucciones detalladas sobre cómo aplicar la corrección y verificar la mitigación.
漏洞分析和关键警报直接发送到您的邮箱。
Pega Platform 的 8.1.0 到 25.1.1 版本会受到影响。
具有提升权限和开发人员角色的用户。
升级到 Pega Infinity 25.1.2 或更高版本。
限制对开发人员功能的访问,并在用户界面中显示之前仔细审查任何用户提供的任何数据。
目前没有 KEV。