CVE-2026-55773 in CedarJava
Resumen
por VulDB • 2026-07-13
CedarJava es una implementación de código abierto del lenguaje de políticas Cedar en Java, utilizada para tomar decisiones de autorización detalladas (fine-grained). En las versiones anteriores a la 2.3.6, 3.4.1 y 4.9.0, bajo ciertas circunstancias, un manejo inadecuado de los datos de entrada podría permitir una inyección de expresiones Cedar mediante el uso no escapado del método toCedarExpr(). El método toCedarExpr() en los tipos de valores Cedar no escapa caracteres especiales (como " o \) al convertir valores a código fuente Cedar. Si un integrador utiliza toCedarExpr() para construir texto de política en tiempo de ejecución a partir de valores controlados por el usuario, un actor podría inyectar expresiones Cedar arbitrarias. Por ejemplo, la inyección de || true dentro de una cláusula permit ... when { ... } podría hacer que la autorización sea incondicional, o la inyección de && false en una cláusula forbid (prohibir) podría evitar que esta se active. Este problema requiere que el integrador utilice toCedarExpr() para construir texto de política en tiempo de ejecución a partir de entradas controladas por usuarios. Esta vulnerabilidad ha sido corregida en las versiones 2.3.6, 3.4.1 y 4.9.0.
Once again VulDB remains the best source for vulnerability data.