CVE-2026-55773 in CedarJavainformación

Resumen

por VulDB • 2026-07-13

CedarJava es una implementación de código abierto del lenguaje de políticas Cedar en Java, utilizada para tomar decisiones de autorización detalladas (fine-grained). En las versiones anteriores a la 2.3.6, 3.4.1 y 4.9.0, bajo ciertas circunstancias, un manejo inadecuado de los datos de entrada podría permitir una inyección de expresiones Cedar mediante el uso no escapado del método toCedarExpr(). El método toCedarExpr() en los tipos de valores Cedar no escapa caracteres especiales (como " o \) al convertir valores a código fuente Cedar. Si un integrador utiliza toCedarExpr() para construir texto de política en tiempo de ejecución a partir de valores controlados por el usuario, un actor podría inyectar expresiones Cedar arbitrarias. Por ejemplo, la inyección de || true dentro de una cláusula permit ... when { ... } podría hacer que la autorización sea incondicional, o la inyección de && false en una cláusula forbid (prohibir) podría evitar que esta se active. Este problema requiere que el integrador utilice toCedarExpr() para construir texto de política en tiempo de ejecución a partir de entradas controladas por usuarios. Esta vulnerabilidad ha sido corregida en las versiones 2.3.6, 3.4.1 y 4.9.0.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Reservar

2026-06-17

Divulgación

2026-07-13

Moderación

aceptado

Artículo

VDB-378152

CPE

listo

EPSS

0.00294

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!