CVE-2026-55773 in CedarJavainfo

Zusammenfassung

von VulDB • 13.07.2026

CedarJava ist eine Open-Source-Java-Implementierung der Cedar-Richtliniensprache (Policy Language), die für feingranulare Autorisierungsentscheidungen verwendet wird. In Versionen vor 2.3.6, 3.4.1 und 4.9.0 kann unter bestimmten Umständen unsachgemäße Eingabebehandlung eine Cedar-Ausdrucksinjektion über nicht maskierte Aufrufe von toCedarExpr() ermöglichen. Die Methode toCedarExpr() für Cedar-Werttypen maskiert keine Sonderzeichen („ oder \), wenn Werte in Cedar-Quellcode konvertiert werden. Wenn ein Integrator toCedarExpr() verwendet, um zur Laufzeit Richtlinien-text aus benutzerkontrollierten Werten zu erstellen, kann ein Angreifer beliebige Cedar-Ausdrücke injizieren. Beispielsweise könnte das Injizieren von || true in eine permit ... when { ... }-Klausel die Erlaubnis bedingungslos machen oder das Injizieren von && false in eine forbid-Klausel verhindern, dass diese ausgelöst wird. Dieses Problem tritt nur auf, wenn der Integrator toCedarExpr() verwendet, um Richtlinien-text zur Laufzeit aus benutzerkontrollierten Eingaben zu erstellen. Diese Schwachstelle wurde in den Versionen 2.3.6, 3.4.1 und 4.9.0 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

17.06.2026

Veröffentlichung

13.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378152

CPE

bereit

EPSS

0.00294

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!