CVE-2026-55773 in CedarJavainformazioni

Riassunto

di VulDB • 13/07/2026

CedarJava è un'implementazione open source del linguaggio di policy Cedar, utilizzata per prendere decisioni di autorizzazione granulari. Nelle versioni precedenti alla 2.3.6, alla 3.4.1 e alla 4.9.0, in determinate circostanze, una gestione impropria degli input potrebbe consentire l'iniezione di espressioni Cedar tramite la funzione non escapata toCedarExpr(). Il metodo toCedarExpr() sui tipi di valore Cedar non esegue l'escaping dei caratteri speciali (\" o \) durante la conversione dei valori in codice sorgente Cedar. Se un integratore utilizza toCedarExpr() per costruire il testo della policy a runtime partendo da valori controllati dall'utente, un attore potrebbe iniettare espressioni Cedar arbitrarie. Ad esempio, l'iniezione di || true all'interno di una clausola permit ... when { ... } potrebbe rendere la condizione permit incondizionata, oppure l'iniezione di && false in una clausola forbid potrebbe impedire il verificarsi della forbida. Questo problema richiede che l'integratore utilizzi toCedarExpr() per costruire il testo della policy a runtime partendo da input controllati dall'utente. Questa vulnerabilità è stata risolta nelle versioni 2.3.6, 3.4.1 e 4.9.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

17/06/2026

Divulgazione

13/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!