CVE-2026-55772 in CedarJava
要約
〜によって VulDB • 2026年07月13日
CedarJavaは、きめ細かい認可判断を行うために使用されるCedarポリシー言語のオープンソースJava実装です。バージョン2.3.5以下、3.4.0以下、および4.8.0以下の各バージョンでは、特定の状況下で不適切な入力処理により、Java-Rust FFI境界を跨いでRecord-to-Entity型の混乱(type confusion)が発生する可能性があります。CedarJavaは認可リクエストをJSON形式でRustのcedar-policy評価エンジンに送信します。このJSONプロトコルでは、エンティティ参照および拡張値に対してマジックな単一キーオブジェクト形状(__entity および __extn)が予約されています。しかし、CedarMapをシリアライズする際、これらの予約済みキーの使用を防ぐための検証は行われません。統合サービスが呼び出し元から提供されたkey/valueデータ(リクエストヘッダー、ユーザー定義メタデータ、またはリソースタグなど)を使用してCedarMapを構築する場合、そのキーを制御する攻撃者はRust評価エンジンに対してレコードをエンティティ参照として解釈させることができます。この脆弱性を悪用するには、統合サービスが攻撃者がkeyを制御できるCedarMapを構築する必要があり、さらにポリシーにおいてwhen/unless節でその値が参照されている必要があります。本脆弱性はバージョン2.3.6、3.4.1、および4.9.0で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.