Pega Infinity身份验证绕过漏洞(CVE-2021-27651)

发布时间 2021-05-19

0x00 漏洞概述

CVE  ID

CVE-2021-27651

时    间

2021-05-19

类   型

身份验证绕过

等    级

严重

远程利用


影响范围

Pega Infinity 8.2.1 - 8.5.2

PoC/EXP

未公开

在野利用

 

0x01 漏洞详情

image.png

 

PEGA(Pega systems)企业是规则驱动流程自动化市场的领导者,业务遍布全球,并专注于大型企业客户,其客户领域涉及医疗保健企业、保险企业、银行、通信服务提供商等。

Pega infinity是PEGA企业的一套企业App套件,结合了客户参与和数字流程自动化功能,从而降低了复杂性,并可以实现随着数字化转型而发展的可扩展无代码应用程序。

近日,Pega修复了 Pega infinity中的一个身份验证绕过漏洞(CVE-2021-27651),该漏洞的CVSSv3评分为9.8。由于重置密码的脆弱验证机制,攻击者可以通过利用本地账户的密码重置功能来绕过本地身份验证检查,最终实现未授权访问或命令实行。

 

0x02 处置建议

目前Pega已经修复了此漏洞,建议尽快应用安全更新。

下载链接:

https://collaborate.pega.com/discussion/pega-security-advisory-a21-hotfix-matrix

 

0x03 参考链接

https://collaborate.pega.com/discussion/pega-security-advisory-a21-hotfix-matrix

https://www.pega.com/infinity

https://nvd.nist.gov/vuln/detail/CVE-2021-27651

 

0x04 时间线

2021-04-29  CNNVD披露漏洞

2021-05-19  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png