平台
other
组件
pega-platform
修复版本
25.1.2
CVE-2026-1711 是一个存储型跨站脚本攻击 (XSS) 漏洞,影响到 Pega Platform 的用户界面组件。该漏洞允许攻击者在受影响的版本中注入恶意脚本,可能导致敏感信息泄露或用户会话劫持。受影响的版本包括 Pega Platform 8.1.0 到 25.1.1。该漏洞已在 Infinity 25.1.2 版本中修复。
CVE-2026-1711 影响 Pega Infinity,特别是 Pega Platform 8.1.0 到 25.1.1 之间的版本。这是一种存储型跨站脚本 (XSS) 漏洞,这意味着攻击者可以将恶意代码注入到用户界面组件中,该代码将在其他用户的浏览器中执行。成功利用此漏洞可能允许攻击者窃取敏感信息、冒充经过身份验证的用户执行操作,或损害 Pega 应用程序的完整性。重要的是要注意,此漏洞需要攻击者在 Pega 系统中拥有提升的权限和开发人员角色。此漏洞的严重性在于它可能影响具有重要角色的用户并访问机密数据。
CVE-2026-1711 中存储的 XSS 漏洞是通过将恶意 JavaScript 代码注入到 Pega 用户界面组件中来利用的。此代码存储在 Pega 数据库中,并且每当用户访问受影响的页面时都会执行。为了利用此漏洞,攻击者需要具有开发人员权限以及修改用户界面的能力。恶意代码可以通过表单、文本字段或其他用户界面元素注入。注入后,代码将在访问页面的用户的上下文中执行,从而使攻击者能够窃取信息或执行未经授权的操作。利用的复杂性取决于注入点的确切位置以及 Pega Platform 中实施的安全措施。
Organizations heavily reliant on Pega Platform for critical business processes, particularly those with a large number of users with developer roles, are at increased risk. Environments with legacy Pega Platform deployments or those lacking robust input validation practices are also more vulnerable.
disclosure
漏洞利用状态
EPSS
0.06% (18% 百分位)
CISA SSVC
减轻 CVE-2026-1711 的解决方案是升级到 Pega Infinity 25.1.2 或更高版本。此更新包含解决 XSS 漏洞所需的修复程序。建议尽快应用此更新以降低被利用的风险。此外,请审查 Pega Platform 的安全配置,包括访问控制策略和数据输入验证,以加强系统的整体安全性。定期监控 Pega 审计日志,以查找可能表明利用尝试的任何可疑活动也很重要。实施分层安全策略对于保护 Pega 系统免受漏洞侵害至关重要。
Actualice Pega Platform a la versión 25.1.2 o posterior para mitigar la vulnerabilidad de XSS. Consulte la nota de remediación de seguridad de Pegasystems (https://support.pega.com/support-doc/pega-security-advisory-d26-vulnerability-remediation-note) para obtener instrucciones detalladas y pasos de mitigación.
漏洞分析和关键警报直接发送到您的邮箱。
'存储型 XSS' 意味着恶意代码存储在数据库中,并且每当用户查看页面时都会执行。
攻击者需要在 Pega Platform 中具有开发人员权限。
是的,升级到 Pega Infinity 25.1.2 或更高版本是推荐的解决方案。
审查安全配置、实施访问控制策略并验证数据输入。
监控 Pega 审计日志,查找任何可疑活动。