CVE-2025-62181: CWE-204: Pegasystems Pega Infinity 中的可观察响应差异

严重性： 中等 类型： 漏洞

CVE-2025-62181

Pega Platform 版本 7.1.0 至 Infinity 25.1.0 受到用户枚举问题的影响。此问题发生在用户身份验证过程中，响应时间的差异可能允许远程未认证用户判断用户名是否有效。此问题仅适用于已弃用的基础认证功能，建议使用其他更安全的身份验证机制。修复已在 24.1.4、24.2.4 和 25.1.1 补丁版本中提供。请注意：基础凭证认证服务类型从 24.2 版本开始已弃用：https://docs.pega.com/bundle/platform/page/platform/release-notes/security/whats-new-security-242.html。

AI 分析

技术总结 CVE-2025-62181 是一个被归类为 CWE-204（可观察响应差异）的漏洞，影响 Pegasystems Pega Infinity 版本 7.1.0 至 25.1.0。当使用已弃用的基础认证功能时，该缺陷在用户身份验证过程中出现。具体来说，系统会根据用户名是否存在而表现出可测量的响应时间差异。这种时间差异允许远程、未经身份验证的攻击者通过系统地探测用户名和分析响应延迟来执行用户枚举。用户枚举可能是更严重攻击（如暴力破解密码尝试或社会工程学攻击）的前兆。该漏洞不需要任何用户交互或身份验证，使得任何远程攻击者都可以利用。通过使用更安全的身份验证机制可以缓解此问题，因为基础认证从 24.2 版本开始已弃用。Pegasystems 已在补丁版本 24.1.4、24.2.4 和 25.1.1 中解决了此漏洞。目前未报告有已知的在野利用。CVSS v3.1 基础评分为 5.3，反映了中等严重级别，原因是对机密性的影响有限（仅用户名泄露），对完整性或可用性没有影响，并且无需权限或用户交互即可轻松利用。

潜在影响 对于欧洲组织，CVE-2025-62181 的主要影响是通过身份验证尝试期间的时间分析可能泄露有效的用户名。虽然这不会直接破坏密码或系统完整性，但它极大地帮助攻击者策划针对性攻击，如撞库、钓鱼或暴力破解密码猜测。依赖启用基础认证的 Pega Infinity 的组织可能会看到账户被入侵的风险增加，特别是当用户名敏感或与特权账户关联时。此漏洞还可能促进针对基于 Pega Infinity 构建的关键基础设施或敏感业务应用程序的侦察活动。在用户身份保密至关重要的行业，如金融、医疗保健和政府服务，影响更为严重。然而，由于没有已知的漏洞利用，并且有可用的补丁，如果组织应用推荐的更新并迁移远离基础认证，则可降低直接风险。

缓解建议 欧洲组织应优先将 Pega Infinity 升级到已打补丁的版本 24.1.4、24.2.4 或 25.1.1 以修复此漏洞。如果无法立即升级，则禁用已弃用的基础认证功能对于防止利用至关重要。组织应强制使用 Pega Infinity 支持的更安全的身份验证机制，如 OAuth、SAML 或多因素认证，以消除攻击者可利用的时间差异。此外，实施速率限制和监控身份验证端点以发现异常请求模式，有助于检测和缓解用户枚举尝试。安全团队应审核其 Pega Infinity 部署，以识别仍在使用基础认证的任何旧配置并进行相应修复。最后，教育用户关于钓鱼风险并执行强密码策略，将降低利用已枚举用户名进行攻击成功的可能性。

受影响国家 德国、法国、英国、荷兰、意大利、西班牙、瑞典

来源： CVE Database V5 发布日期： 2025年12月10日 星期三

技术详情

• 数据版本： 5.2
• 分配者简称： Pega
• 保留日期： 2025-10-07T19:04:27.220Z
• Cvss 版本： 3.1
• 状态： 已发布
• 威胁 ID： 6939dce9a97935729e774028
• 添加到数据库时间： 2025年12月10日，晚上8:49:45
• 最后丰富时间： 2025年12月10日，晚上9:07:46
• 最后更新时间： 2025年12月11日，上午8:39:06
• 浏览量： 11