CVE-2026-55772 in CedarJavaИнформация

Сводка

по VulDB • 13.07.2026

CedarJava — это реализация языка политик Cedar на Java с открытым исходным кодом, используемая для принятия решений о тонкогранулярном авторизации. В версиях до 2.3.6, 3.4.1 и 4.9.0 при определенных обстоятельствах некорректная обработка входных данных может привести к путанице типов Record-to-Entity (запись сущность) через границу взаимодействия Java-Rust FFI. CedarJava отправляет запросы на авторизацию в виде JSON для оценки политик Rust cedar-policy evaluator. В протоколе JSON зарезервированы магические объекты с одним ключом (__entity и __extn) для ссылочных значений сущностей и расширений. При сериализации объекта CedarMap отсутствует проверка, предотвращающая использование этих зарезервированных ключей. Если интегрирующий сервис формирует объект CedarMap на основе данных ключ/значение от вызывающей стороны (например, заголовков запросов, пользовательских метаданных или тегов ресурсов), злоумышленник, контролирующий эти ключи, может заставить Rust-оценщик интерпретировать запись как ссылку на сущность. Для эксплуатации этой уязвимости интегрирующий сервис должен формировать объект CedarMap таким образом, чтобы злоумышленник мог контролировать ключи, а политика должна ссылаться на это значение в условии when/unless (когда/если не). Данная уязвимость исправлена в версиях 2.3.6, 3.4.1 и 4.9.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Ответственный

GitHub M

Резервировать

17.06.2026

Раскрытие

13.07.2026

Модерация

принято

Вход

VDB-378154

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Сектор

Pharma, Energy, ...

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!