CVE-2026-55772 in CedarJavainfo

Zusammenfassung

von VulDB • 13.07.2026

CedarJava ist eine Open-Source-Java-Implementierung der Cedar-Richtliniensprache (Policy Language), die für feingranulare Autorisierungsentscheidungen verwendet wird. In Versionen vor 2.3.6, 3.4.1 und 4.9.0 kann unter bestimmten Umständen eine unsachgemäße Eingabebehandlung zu einer Record-to-Entity-Typverwechslung (Type Confusion) über die Java-Rust-FFI-Grenze hinweg führen. CedarJava sendet Autorisierungsanfragen als JSON an den Rust cedar-policy-Evaluator. Das JSON-Protokoll reserviert magische Single-Key-Objektstrukturen (__entity und __extn) für Entity-Referenzen und Erweiterungswerte (Extension Values). Beim Serialisieren einer CedarMap gibt es keine Validierung, die die Verwendung dieser reservierten Schlüssel verhindert. Wenn ein integrierender Dienst eine CedarMap aus von einem Aufrufer bereitgestellten Key/Value-Daten (z. B. Anforderungsheadern, benutzerdefinierten Metadaten oder Ressourcentags) erstellt, kann ein Akteur, der diese Schlüssel kontrolliert, den Rust-Evaluator dazu bringen, einen Record als Entity-Referenz zu interpretieren. Für diesen Fehler muss der integrierende Dienst eine CedarMap erstellen, bei der ein Akteur die Schlüssel kontrolliert, und es muss eine Richtlinie vorhanden sein, die diesen Wert in einer when/unless-Klausel referenziert. Dieser Schwachstellenfehler wurde in den Versionen 2.3.6, 3.4.1 und 4.9 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

17.06.2026

Veröffentlichung

13.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378154

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!