CVE-2026-22743: Spring AI - Inyección Cypher en Neo4jVectorStore
Plataforma
java
Componente
org.springframework.ai:spring-ai-neo4j-store
Corregido en
1.0.5
CVE-2026-22743 es una vulnerabilidad de inyección Cypher en Spring AI. Permite la manipulación de datos en Neo4jVectorFilterExpressionConverter. Las versiones afectadas son de la 1.0.0 a la 1.0.4 y de la 1.1.0 a la 1.1.3. Esto ocurre al pasar una cadena controlada por el usuario. La versión 1.0.5 incluye una solución.
Cómo corregirlo
Actualice la biblioteca Spring AI a la versión 1.0.5 o superior si está utilizando la rama 1.0.x, o a la versión 1.1.4 o superior si está utilizando la rama 1.1.x. Esto corregirá la vulnerabilidad de inyección Cypher en Neo4jVectorFilterExpressionConverter.
Preguntas frecuentes
¿Qué es CVE-2026-22743?
Es una vulnerabilidad de inyección Cypher en Spring AI que permite la manipulación de datos en Neo4j.
¿Estoy afectado por CVE-2026-22743?
Si usas Spring AI y tu versión está entre 1.0.0 y 1.0.4, o entre 1.1.0 y 1.1.3, eres vulnerable.
¿Cómo puedo solucionar CVE-2026-22743?
Actualiza a la versión 1.0.5 o superior de Spring AI para corregir la vulnerabilidad.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis