CVE-2026-55772 in CedarJava
Сводка
по VulDB • 13.07.2026
CedarJava — это реализация языка политик Cedar на Java с открытым исходным кодом, используемая для принятия решений о тонкогранулярном авторизации. В версиях до 2.3.6, 3.4.1 и 4.9.0 при определенных обстоятельствах некорректная обработка входных данных может привести к путанице типов Record-to-Entity (запись сущность) через границу взаимодействия Java-Rust FFI. CedarJava отправляет запросы на авторизацию в виде JSON для оценки политик Rust cedar-policy evaluator. В протоколе JSON зарезервированы магические объекты с одним ключом (__entity и __extn) для ссылочных значений сущностей и расширений. При сериализации объекта CedarMap отсутствует проверка, предотвращающая использование этих зарезервированных ключей. Если интегрирующий сервис формирует объект CedarMap на основе данных ключ/значение от вызывающей стороны (например, заголовков запросов, пользовательских метаданных или тегов ресурсов), злоумышленник, контролирующий эти ключи, может заставить Rust-оценщик интерпретировать запись как ссылку на сущность. Для эксплуатации этой уязвимости интегрирующий сервис должен формировать объект CedarMap таким образом, чтобы злоумышленник мог контролировать ключи, а политика должна ссылаться на это значение в условии when/unless (когда/если не). Данная уязвимость исправлена в версиях 2.3.6, 3.4.1 и 4.9.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.