Pubblicato il 2026-07-13 · Fonte: NVD NIST
La vulnerabilità CVE-2026-55772 è stata scoperta in CedarJava, un'implementazione open source Java del linguaggio di politica Cedar. La vulnerabilità si verifica a causa della mancanza di validazione nell'input, che può permettere a un attaccante di sfruttare una debolezza di input per confondere tipi di entità. Ciò può accadere quando un servizio di integrazione costruisce un CedarMap da dati forniti dall'utente, come ad esempio intestazioni di richiesta, metadati definiti dall'utente o tag di risorse. La vulnerabilità è stata risolta nelle versioni 2.3.6, 3.4.1 e 4.9.0 di CedarJava.
Un attaccante che sfrutta questa vulnerabilità può causare la interpretazione di un record come un riferimento a un'entità, il che può portare a decisioni di autorizzazione errate. Ciò può avere un impatto significativo sulla sicurezza dei sistemi che utilizzano CedarJava per le decisioni di autorizzazione. I sistemi a rischio sono quelli che utilizzano versioni di CedarJava precedenti alle 2.3.6, 3.4.1 e 4.9.0 e che costruiscono CedarMap da dati forniti dall'utente.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare CedarJava alle versioni 2.3.6, 3.4.1 o 4.9.0. Inoltre, è importante assicurarsi che i dati forniti dall'utente siano validati e sanificati prima di essere utilizzati per costruire CedarMap. Se non è possibile aggiornare immediatamente, si possono implementare workaround come la validazione manuale dei dati di input o l'utilizzo di librerie di terze parti per la gestione della sicurezza.
La vulnerabilità CVE-2026-55772 è una debolezza di input in CedarJava che può permettere a un attaccante di sfruttare una debolezza di input per confondere tipi di entità.
L'impatto della vulnerabilità è alto, con un CVSS Score di 8.8, e può portare a decisioni di autorizzazione errate.
Per proteggersi da questa vulnerabilità, si consiglia di aggiornare CedarJava alle versioni 2.3.6, 3.4.1 o 4.9.0 e di validare e sanificare i dati forniti dall'utente prima di utilizzarli per costruire CedarMap.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.