Vulnerabilidad en Pega Robot Studio de Pegasystems (CVE-2026-0898)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

CWE-284 Control de acceso incorrecto

Fecha de publicación:

23/03/2026

Última modificación:

24/03/2026

Descripción

Una vulnerabilidad de escritura de archivos arbitraria en la extensión de navegador Pega (PBE) afecta a los desarrolladores de Pega Robot Studio que están automatizando Google Chrome y Microsoft Edge utilizando la versión 22.1 o R25. Esta vulnerabilidad no afecta a los usuarios de Robot Runtime. Un actor malicioso podría crear un sitio web que incluya código malicioso. La vulnerabilidad podría ser explotada si un desarrollador de Pega Robot Studio es engañado para visitar este sitio web durante el modo de interrogación en Robot Studio.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.00 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Passsive
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto

Puntuación base 4.0

9.00

Gravedad 4.0

CRÍTICA

Referencias a soluciones, herramientas e información

https://support.pega.com/support-doc/pega-security-advisory-p25-vulnerability-remediation-note