CVE-2026-22742: Spring AI - SSRF en BedrockProxyChatModel
Plataforma
java
Componente
org.springframework.ai:spring-ai-bedrock-converse
Corregido en
1.0.5
CVE-2026-22742 es una vulnerabilidad de Server-Side Request Forgery (SSRF) en Spring AI. Permite a un atacante inducir al servidor a realizar peticiones HTTP a destinos no deseados. Las versiones afectadas son de la 1.0.0 a la 1.0.4 y de la 1.1.0 a la 1.1.3. Esto ocurre en BedrockProxyChatModel. La versión 1.0.5 incluye una solución.
Cómo corregirlo
Actualice la biblioteca Spring AI a la versión 1.0.5 o superior si está utilizando la rama 1.0.x, o a la versión 1.1.4 o superior si está utilizando la rama 1.1.x. Esto corregirá la vulnerabilidad SSRF en BedrockProxyChatModel al validar correctamente las URLs de los medios proporcionadas por el usuario.
Preguntas frecuentes
¿Qué es CVE-2026-22742?
Es una vulnerabilidad SSRF en Spring AI que permite a un atacante realizar peticiones a destinos internos o externos.
¿Estoy afectado por CVE-2026-22742?
Si usas Spring AI y tu versión está entre 1.0.0 y 1.0.4, o entre 1.1.0 y 1.1.3, eres vulnerable.
¿Cómo puedo solucionar CVE-2026-22742?
Actualiza a la versión 1.0.5 o superior de Spring AI para corregir la vulnerabilidad.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis