CVE-2026-22738: SpEL Injection dans Spring AI, vulnérabilité
Plateforme
java
Composant
org.springframework.ai:spring-ai-vector-store
Corrigé dans
1.0.5
La vulnérabilité CVE-2026-22738 concerne Spring AI et est une faille d'injection SpEL. Elle se manifeste dans SimpleVectorStore lorsque des données fournies par l'utilisateur sont utilisées comme clé d'expression de filtre. L'exploitation de cette vulnérabilité, qui affecte les versions 1.0.0 à 1.0.4 et 1.1.0 à 1.1.3, permet l'exécution de code arbitraire. La version 1.0.5 propose un correctif.
Comment corriger
Mettez à jour Spring AI vers la version 1.0.5 ou supérieure si vous utilisez la branche 1.0.x, ou vers la version 1.1.4 ou supérieure si vous utilisez la branche 1.1.x. Cela corrige la vulnérabilité d'injection SpEL dans SimpleVectorStore. Évitez de passer les entrées fournies par l'utilisateur directement comme clés d'expression de filtre.
Questions fréquentes
Qu'est-ce que CVE-2026-22738 ?
CVE-2026-22738 est une vulnérabilité d'injection SpEL dans Spring AI, permettant l'exécution de code arbitraire via SimpleVectorStore.
Suis-je affecté par CVE-2026-22738 ?
Vous êtes affecté si vous utilisez Spring AI dans les versions 1.0.0 à 1.0.4 ou 1.1.0 à 1.1.3 et que vous utilisez SimpleVectorStore.
Comment puis-je corriger CVE-2026-22738 ?
Mettez à jour votre installation de Spring AI vers la version 1.0.5 ou une version ultérieure pour bénéficier du correctif.
Surveillez vos dépendances automatiquement
Recevez des alertes quand de nouvelles vulnérabilités affectent vos projets.
Commencer gratuitement