【漏洞通告】Pega Infinity密码重置漏洞CVE-2021-27651

Pega Infinity是PegaSystems开发的一套完整企业软件套件，提供了基于云的解决方案，使用户可以越来越快地构建应用程序。

2021年5月17日，深信服安全团队监测到一则Pega Infinity组件存在代码执行漏洞的信息，漏洞编号：CVE-2021-27651，漏洞威胁等级：高危。

该漏洞是由于重置密码的脆弱验证机制，攻击者可利用该漏洞在未授权的情况下，构造恶意数据使用本地帐户的密码重置功能来绕过本地身份验证检查，最终使用重置密码后的账户进行登录，使用已有的代码执行向量中的任意一个造成命令执行。

Pega Infinity是一种流行的企业软件套件，拥有2,000多个用户。该软件包包括客户服务和销售自动化，人工智能驱动的“客户决策中心”，劳动力智能以及“无代码”开发平台。

目前受影响的Pega Infinity版本：

Pega Infinity >= 8.2.1 && Pega Infinity <= 8.5.2

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://collaborate.pega.com/discussion/pega-security-advisory-a21-hotfix-matrix

打补丁方法:

打开以上链接，检查当前系统版本对应的热补丁编号，与pega技术支持取得联系并提交修补程序请求，pega将主动修复运行相关Pega版本的PegaCloud环境。

【 深信服下一代防火墙 】可防御此漏洞，建议用户将深信服下一代防火墙开启IPS防护策略，并更新最新安全防护规则，即可轻松抵御此高危风险。
【 深信服安全感知平台 】结合云端实时热点高危/紧急漏洞信息，可快速检出业务场景下的该漏洞，并可联动【深信服下一代防火墙等产品】实现对攻击者IP的封堵。