CVE-2026-55772 in CedarJava
요약
\~에 의해 VulDB • 2026. 07. 14.
CedarJava는 세분화된 권한 부여 결정을 위해 사용되는 Cedar 정책 언어의 오픈 소스 Java 구현체입니다. 버전 2.3.5 이하, 3.4.0 이하 및 4.8.0 이하에서는 특정 상황에서 부적절한 입력 처리로 인해 Java-Rust FFI 경계에서 레코드-엔티피 타입 혼란(Type Confusion)이 발생할 수 있습니다. CedarJava는 권한 부여 요청을 JSON 형식으로 Rust cedar-policy 평가기(Evaluator)에 전송합니다. 이 JSON 프로토콜은 엔티티 참조 및 확장 값용 마법 단일 키 객체 형태(__entity 및 __extn)를 예약하고 있습니다. CedarMap 직렬화 시 이러한 예약된 키의 사용을 방지하는 검증이 수행되지 않습니다. 통합 서비스에서 호출자가 제공한 키/값 데이터(예: 요청 헤더, 사용자 정의 메타데이터 또는 리소스 태그)로부터 CedarMap을 생성할 경우, 해당 키들을 제어하는 악의적 행위자는 Rust 평가기가 레코드를 엔티티 참조로 해석하도록 유도할 수 있습니다. 이 취약점은 통합 서비스가 악의적 행위자가 키를 제어할 수 있는 CedarMap을 구성하고, 정책에서 when/unless 절 내에서 해당 값을 참조해야 한다는 조건이 충족될 때만 발생합니다. 본 취약점은 버전 2.3.6, 3.4.1 및 4.9.0에서 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.