CVE-2026-55773 in CedarJava
Sumário
de VulDB • 13/07/2026
O CedarJava é uma implementação de código aberto da linguagem de políticas Cedar em Java, utilizada para decisões de autorização granulares. Nas versões anteriores à 2.3.6, 3.4.1 e 4.9.0, sob certas circunstâncias, o tratamento inadequado de entradas poderia permitir a injeção de expressões Cedar via toCedarExpr() sem escape adequado. O método toCedarExpr() nos tipos de Valor do Cedar não realiza o escape de caracteres especiais (" ou \) ao converter valores para código-fonte Cedar. Se um integrador utilizar o toCedarExpr() para construir texto de política em tempo de execução a partir de valores controlados pelo usuário, um ator poderia injetar expressões Cedar arbitrárias. Por exemplo, injetar || true numa cláusula permit ... when { ... } tornaria o permissão incondicional, ou injetar && false numa cláusula forbid impediria que o forbídio fosse acionado. Esta vulnerabilidade requer que o integrador utilize toCedarExpr() para construir texto de política em tempo de execução a partir de entradas controladas pelo usuário. Este problema foi corrigido nas versões 2.3.6, 3.4.1 e 4.9.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.