目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%

CVE-2026-55772— CedarJava 缓冲区错误漏洞

CVSS 8.8 · High EPSS 0.48% · P38

Affected Version Matrix 3

ベンダープロダクトVersion Rangeステータス
cedar-policycedar-java< 2.3.6affected
>= 3.1.2, < 3.4.1affected
>= 4.0.0, < 4.9.0affected
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-55772の基本情報

脆弱性情報

脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
CedarJava has a type confusion vulnerability
ソース: NVD (National Vulnerability Database)
脆弱性説明
CedarJava is an open source Java implementation of the Cedar policy language, used for fine-grained authorization decisions. In versions prior to 2.3.6, 3.4.1 and 4.9.0, under certain circumstances, improper input handling could allow Record-to-Entity type confusion across the Java-Rust FFI boundary. CedarJava sends authorization requests to the Rust cedar-policy evaluator as JSON. The JSON protocol reserves magic single-key object shapes (__entity and __extn) for entity references and extension values. When serializing a CedarMap, there is no validation preventing these reserved keys from being used. If an integrating service builds a CedarMap from caller-supplied key/value data (such as request headers, user-defined metadata, or resource tags), an actor who controls those keys could cause the Rust evaluator to interpret a record as an entity reference. This issue requires the integrating service to build a CedarMap where the an actor controls the keys, and a policy must reference that value in a when/unless clause. This vulnerability has been fixed in versions 2.3.6, 3.4.1, and 4.9.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
使用不兼容类型访问资源(类型混淆)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
CedarJava 缓冲区错误漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Cedar CedarJava是Cedar组织的一款消息队列中间件。 CedarJava存在缓冲区错误漏洞,该漏洞源于输入处理不当,可能导致Java-Rust FFI边界的Record-to-Entity类型混淆。以下版本受到影响:2.3.6之前版本、3.1.2至3.4.1之前版本以及4.0.0至4.9.0之前版本。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
cedar-policycedar-java < 2.3.6 -

II. CVE-2026-55772の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム
Qwen3.6-35B-A3B · 13028 文字数
Pro+限定の内容:
脆弱性再現の録画(実際のサンドボックス構築 + トリガー、限定)
脆弱性の原理を深く分析
トリガー条件と影響範囲
完全な実行可能POCコード
攻撃チェーンと緩和策の提案
POCパッケージのダウンロード
月間100件以上のAI生成枠

III. CVE-2026-55772のインテリジェンス情報

登录查看更多情报信息。

CVE-2026-55772 厂商安全公告 (1)

Same Patch Batch · cedar-policy · 2026-07-13 · 3 CVEs total

CVE-2026-557718.8 HIGHCedarJava has policy injection, type confusion, and incorrect equality comparison vulnerab
CVE-2026-557738.8 HIGHCedarJava has a policy injection vulnerability

IV. 関連脆弱性

V. CVE-2026-55772へのコメント

まだコメントはありません


コメントを残す