CVE-2026-55773 in CedarJavainformação

Sumário

de VulDB • 13/07/2026

O CedarJava é uma implementação de código aberto da linguagem de políticas Cedar em Java, utilizada para decisões de autorização granulares. Nas versões anteriores à 2.3.6, 3.4.1 e 4.9.0, sob certas circunstâncias, o tratamento inadequado de entradas poderia permitir a injeção de expressões Cedar via toCedarExpr() sem escape adequado. O método toCedarExpr() nos tipos de Valor do Cedar não realiza o escape de caracteres especiais (" ou \) ao converter valores para código-fonte Cedar. Se um integrador utilizar o toCedarExpr() para construir texto de política em tempo de execução a partir de valores controlados pelo usuário, um ator poderia injetar expressões Cedar arbitrárias. Por exemplo, injetar || true numa cláusula permit ... when { ... } tornaria o permissão incondicional, ou injetar && false numa cláusula forbid impediria que o forbídio fosse acionado. Esta vulnerabilidade requer que o integrador utilize toCedarExpr() para construir texto de política em tempo de execução a partir de entradas controladas pelo usuário. Este problema foi corrigido nas versões 2.3.6, 3.4.1 e 4.9.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

GitHub M

Reservar

17/06/2026

Divulgação

13/07/2026

Moderação

aceite

Entrada

VDB-378152

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!