首頁 > 安全研究 > 安全通報 > 安全通告

Pega Infinity身份驗證繞過漏洞(CVE-2021-27651)

發布時間 2021-05-19

0x00 漏洞概述

CVE  ID

CVE-2021-27651

時    間

2021-05-19

類   型

身份驗證繞過

等    級

嚴重

遠程利用


影響范圍

Pega Infinity 8.2.1 - 8.5.2

PoC/EXP

未公開

在野利用

 

0x01 漏洞詳情

image.png

 

PEGA(Pega systems)公司是規則驅動流程自動化市場的領導者,業務遍布全球,并專注于大型企業客戶,其客戶領域涉及醫療保健公司、保險公司、銀行、通信服務提供商等。

Pega infinity是PEGA公司的一套企業軟件套件,結合了客戶參與和數字流程自動化功能,從而降低了復雜性,并可以實現隨著數字化轉型而發展的可擴展無代碼應用程序。

近日,Pega修復了 Pega infinity中的一個身份驗證繞過漏洞(CVE-2021-27651),該漏洞的CVSSv3評分為9.8。由于重置密碼的脆弱驗證機制,攻擊者可以通過利用本地賬戶的密碼重置功能來繞過本地身份驗證檢查,最終實現未授權訪問或命令執行。

 

0x02 處置建議

目前Pega已經修復了此漏洞,建議盡快應用安全更新。

下載鏈接:

https://collaborate.pega.com/discussion/pega-security-advisory-a21-hotfix-matrix

 

0x03 參考鏈接

https://collaborate.pega.com/discussion/pega-security-advisory-a21-hotfix-matrix

https://www.pega.com/infinity

https://nvd.nist.gov/vuln/detail/CVE-2021-27651

 

0x04 時間線

2021-04-29  CNNVD披露漏洞

2021-05-19  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

上一篇 下一篇