Pubblicato il 2026-07-13 · Fonte: NVD NIST
La vulnerabilità CVE-2026-55773 colpisce CedarJava, un'implementazione open source Java del linguaggio di policy Cedar. La vulnerabilità si verifica a causa di un'impropria gestione dell'input che può permettere l'iniezione di espressioni Cedar arbitrarie tramite il metodo toCedarExpr(). Ciò può accadere quando l'integratore utilizza toCedarExpr() per costruire testo di policy in fase di runtime da valori controllati dall'utente. La vulnerabilità è stata risolta nelle versioni 2.3.6, 3.4.1 e 4.9.0.
Un attaccante può sfruttare questa vulnerabilità per iniettare espressioni Cedar arbitrarie, ad esempio iniettando '|| true' in una clausola 'permit ... when { ... }' per rendere il permesso incondizionato, o iniettando '&& false' in una clausola 'forbid' per prevenire che la forbid si attivi. Ciò può avere un impatto significativo sulla sicurezza delle autorizzazioni fine-grained.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare CedarJava alle versioni 2.3.6, 3.4.1 o 4.9.0. Inoltre, è importante evitare di utilizzare il metodo toCedarExpr() per costruire testo di policy in fase di runtime da valori controllati dall'utente. Se non è possibile aggiornare, si possono adottare pratiche di sicurezza generali come validare e sanificare tutti gli input utente.
La vulnerabilità CVE-2026-55773 è una vulnerabilità di iniezione di espressioni Cedar in CedarJava che può permettere a un attaccante di iniettare espressioni arbitrarie.
L'impatto della vulnerabilità può essere significativo, poiché può permettere a un attaccante di eludere le autorizzazioni fine-grained e accedere a risorse non autorizzate.
Per proteggersi da questa vulnerabilità, si consiglia di aggiornare CedarJava alle versioni 2.3.6, 3.4.1 o 4.9.0 e di adottare pratiche di sicurezza generali come validare e sanificare tutti gli input utente.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.