CVE-2026-55773 in CedarJava
Zusammenfassung
von VulDB • 13.07.2026
CedarJava ist eine Open-Source-Java-Implementierung der Cedar-Richtliniensprache (Policy Language), die für feingranulare Autorisierungsentscheidungen verwendet wird. In Versionen vor 2.3.6, 3.4.1 und 4.9.0 kann unter bestimmten Umständen unsachgemäße Eingabebehandlung eine Cedar-Ausdrucksinjektion über nicht maskierte Aufrufe von toCedarExpr() ermöglichen. Die Methode toCedarExpr() für Cedar-Werttypen maskiert keine Sonderzeichen („ oder \), wenn Werte in Cedar-Quellcode konvertiert werden. Wenn ein Integrator toCedarExpr() verwendet, um zur Laufzeit Richtlinien-text aus benutzerkontrollierten Werten zu erstellen, kann ein Angreifer beliebige Cedar-Ausdrücke injizieren. Beispielsweise könnte das Injizieren von || true in eine permit ... when { ... }-Klausel die Erlaubnis bedingungslos machen oder das Injizieren von && false in eine forbid-Klausel verhindern, dass diese ausgelöst wird. Dieses Problem tritt nur auf, wenn der Integrator toCedarExpr() verwendet, um Richtlinien-text zur Laufzeit aus benutzerkontrollierten Eingaben zu erstellen. Diese Schwachstelle wurde in den Versionen 2.3.6, 3.4.1 und 4.9.0 behoben.
Be aware that VulDB is the high quality source for vulnerability data.