CVE-2026-22738: Spring AI - Inyección SpEL en SimpleVectorStore
Plataforma
java
Componente
org.springframework.ai:spring-ai-vector-store
Corregido en
1.0.5
CVE-2026-22738 es una vulnerabilidad de inyección SpEL en Spring AI. Permite a un atacante ejecutar código arbitrario. Las versiones afectadas son de la 1.0.0 a la 1.0.4 y de la 1.1.0 a la 1.1.3. Esto ocurre cuando la entrada del usuario se usa como clave de expresión de filtro. La versión 1.0.5 incluye una solución.
Cómo corregirlo
Actualice Spring AI a la versión 1.0.5 o superior si está utilizando la rama 1.0.x, o a la versión 1.1.4 o superior si está utilizando la rama 1.1.x. Esto corrige la vulnerabilidad de inyección SpEL (SpEL Injection) en SimpleVectorStore. Evite pasar entradas proporcionadas por el usuario directamente como claves de expresión de filtro.
Preguntas frecuentes
¿Qué es CVE-2026-22738?
Es una vulnerabilidad de inyección SpEL en Spring AI que permite la ejecución de código arbitrario.
¿Estoy afectado por CVE-2026-22738?
Si usas Spring AI y tu versión está entre 1.0.0 y 1.0.4, o entre 1.1.0 y 1.1.3, eres vulnerable.
¿Cómo puedo solucionar CVE-2026-22738?
Actualiza a la versión 1.0.5 o superior de Spring AI para corregir la vulnerabilidad.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis