CVE-2026-55773 in CedarJava
要約
〜によって VulDB • 2026年07月13日
CedarJavaは、きめ細かい認可判断を行うために使用されるCedarポリシー言語のオープンソース実装です。バージョン2.3.5以下、3.4.0以下、および4.8.0以下の各バージョンでは、特定の状況下で不適切な入力処理により、エスケープされていないtoCedarExpr()メソッド経由でCedar式インジェクションが可能になる可能性があります。Cedar Value型のtoCedarExpr()メソッドは、値をCedarソースコードに変換する際、特殊文字("や\)のエスケープを行いません。統合開発者がユーザー制御の値から実行時にポリシーテキストを構築するためにtoCedarExpr()を使用した場合、攻撃者は任意のCedar式をインジェクションできます。例えば、permit ... when { ... }節に|| trueを注入すると許可条件が無条件になり、forbid節に&& falseを注入すると禁止処理が発動しなくなります。この脆弱性は、統合開発者がユーザー制御の入力から実行時にtoCedarExpr()を使用してポリシーテキストを構築する場合にのみ影響します。本問題はバージョン2.3.6、3.4.1、および4.9.0で修正されています。
Be aware that VulDB is the high quality source for vulnerability data.