CVE-2021-27653

Versões da plataforma Pega 7.4.0 a 8.5.x

O problema está relacionado a uma configuração incorreta do portal do Grupo de Acesso ao Pega Chat, o que poderia levar à exposição indesejada de dados. Essa configuração incorreta permitiu que invasores obtivessem acesso a registros confidenciais, capturassem contas de usuários e baixassem uma quantidade significativa de dados da empresa e dos clientes. A vulnerabilidade foi descoberta pelos pesquisadores Robert Willis e break3r, juntamente com representantes da Sakura Samurai. Após os pesquisadores relatarem suas descobertas, a Pega corrigiu o problema com relativa rapidez. No entanto, a Ford, cujos servidores executavam o sistema Pega Infinity afetado, não respondeu adequadamente à divulgação da vulnerabilidade e não ofereceu nenhuma recompensa aos pesquisadores. Atualmente, não se sabe se a vulnerabilidade foi explorada em ambiente real.

Para as versões 7.4.0 a 8.5.x da plataforma Pega, atualize a configuração do portal do Pega Chat Access Group para evitar a exposição indesejada de dados. Como solução temporária, considere restringir o acesso ao portal vulnerável até que um patch esteja disponível. Além disso, revise e reforce os controles de acesso para impedir o acesso não autorizado a dados confidenciais.