Management Summary
Ein Angreifer konnte anhand der Antwortzeit des Servers der PEGA Infinity Plattform zwischen gültigen und ungültigen Benutzernamen unterscheiden, was zur Username Enumeration genutzt werden kann. Ein schwacher Schutz gegen Brute-Force-Angriffe ermöglichte Password-Spraying-Angriffe, bei denen dasselbe Passwort gegen viele verschiedene Benutzernamen getestet wird, wodurch potenziell unbefugter Zugriff auf Benutzerkonten erlangt werden kann. Zusätzlich konnte eine Insecure Direct Object Reference (IDOR)-Schwachstelle ausgenutzt werden, um auf Bilddateien anderer Benutzer zuzugreifen, ohne dass diese die Bilder zur Freigabe für andere Nutzer bereitgestellt haben.
Zum vollständigen Security Advisory (Englisch)
EOF Eric Kahlert / @2026
Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.