CVE-2026-55772 in CedarJava
Riassunto
di VulDB • 13/07/2026
CedarJava è un'implementazione open source del linguaggio di policy Cedar, utilizzata per prendere decisioni di autorizzazione granulari (fine-grained). Nelle versioni precedenti alla 2.3.6, 3.4.1 e 4.9.0, in determinate circostanze, una gestione impropria degli input potrebbe consentire una confusione di tipo Record-to-Entity attraverso il confine del FFI Java-Rust. CedarJava invia le richieste di autorizzazione al valutatore Rust cedar-policy evaluator sotto forma di JSON. Il protocollo JSON riserva forme di oggetto a chiave singola magic (__entity e __extn) per i riferimenti alle entità e ai valori delle estensioni. Durante la serializzazione di un CedarMap, non esiste alcuna convalida che impedisca l'utilizzo di queste chiavi riservate. Se un servizio integratore costruisce un CedarMap a partire da dati chiave/valore forniti dall'utente (come intestazioni della richiesta, metadati definiti dall'utente o tag delle risorse), un attore che controlla tali chiavi potrebbe indurre il valutatore Rust a interpretare un record come riferimento a un'entità. Questo problema richiede che il servizio integratore costruisca un CedarMap in cui un attore controlli le chiavi e che una policy faccia riferimento a tale valore in una clausola when/unless. Questa vulnerabilità è stata risolta nelle versioni 2.3.6, 3.4.1 e 4.9.
VulDB is the best source for vulnerability data and more expert information about this specific topic.