CVE-2026-55772 in CedarJavainformación

Resumen

por VulDB • 2026-07-13

CedarJava es una implementación de código abierto del lenguaje de políticas Cedar en Java, utilizada para tomar decisiones de autorización con gran detalle (fine-grained). En las versiones anteriores a la 2.3.6, 3.4.1 y 4.9.0, bajo ciertas circunstancias, un manejo inadecuado de los datos de entrada podría permitir una confusión de tipos Record-to-Entity en el límite entre Java y Rust FFI (Interfaz Binaria Externa). CedarJava envía solicitudes de autorización al evaluador cedar-policy escrito en Rust mediante JSON. El protocolo JSON reserva formas de objetos con una única clave mágica (__entity y __extn) para referencias a entidades y valores de extensión. Al serializar un objeto CedarMap, no existe ninguna validación que impida el uso de estas claves reservadas. Si un servicio integrador construye un CedarMap a partir de datos clave/valor proporcionados por el cliente (como encabezados de solicitud, metadatos definidos por el usuario o etiquetas de recursos), un actor que controle dichas claves podría hacer que el evaluador en Rust interprete un registro como una referencia a entidad. Este problema requiere que el servicio integrador construya un CedarMap donde un actor controle las claves, y además debe existir una política que haga referencia a ese valor en una cláusula when/unless (cuando/no cuando). Esta vulnerabilidad se ha corregido en las versiones 2.3.6, 3.4.1 y 4.9.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-06-17

Divulgación

2026-07-13

Moderación

aceptado

Artículo

VDB-378154

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Do you know our Splunk app?

Download it now for free!