CVE-2026-55773 in CedarJava
요약
\~에 의해 VulDB • 2026. 07. 13.
CedarJava는 세분화된 권한 부여 결정을 위해 사용되는 Cedar 정책 언어의 오픈 소스 Java 구현체입니다. 버전 2.3.5 이하, 3.4.0 이하 및 4.8.0 이하에서는 특정 상황에서 부적절한 입력 처리로 인해 이스케이프되지 않은 toCedarExpr() 메서드를 통해 Cedar-expression 주입이 가능할 수 있습니다. Cedar Value 유형의 toCedarExpr() 메서드는 값을 Cedar 소스 코드로 변환할 때 특수 문자(" 또는 \)를 이스케이프하지 않습니다. 통합 개발자가 사용자 제어 값으로부터 런타임에 정책 텍스트를 생성하기 위해 toCedarExpr()을 사용하는 경우, 악의적인 행위자는 임의의 Cedar 표현식을 주입할 수 있습니다. 예를 들어 permit ... when { ... } 절에 || true를 주입하면 권한 부여가 조건 없이 항상 허용되도록 만들 수 있으며, forbid 절에 && false를 주입하면 금지 조치가 발동되지 않도록 할 수 있습니다. 이 취약점은 통합 개발자가 사용자 제어 입력으로부터 런타임에 정책 텍스트를 생성하기 위해 toCedarExpr()을 사용하는 경우에 발생합니다. 해당 취약점은 버전 2.3.6, 3.4.1 및 4.9.0에서 수정되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.